Tornado Cash、バックエンドの脆弱性によりユーザーの預金が危険にさらされる
Tornado Cashのトークンミキサーが、プロトコルのバックエンドに挿入された悪意のあるコードにより、ユーザーの預金が危険にさらされていると報告されています。この情報は、コミュニティメンバーであるGas404によるMediumの投稿で明らかにされました。
悪意のあるJavaScriptコードは、1月1日にTornado Cashの開発者とされる人物によって提出された2ヶ月前のガバナンス提案から隠されており、預金データを当該開発者がホストする公開サーバーにリダイレクトするものでした。この脆弱性は、Tornado Cashの預金データを漏洩させる機能と、預金自体を盗む機能を持っています。Gas404によると、etherscanで確認されたこのバッチから1つの預金が盗まれました。
2022年8月に米国財務省の外国資産管理局(OFAC)によってTornado Cashが制裁された後、Tornado Cashの取引量は90%以上も急落しました。
Gas404は、Tornado Cashが以前のバージョンで使用されていたIPFS ContextHashデプロイメントに戻るべきだと提案しています。
【ニュース解説】
Tornado Cashは、イーサリアムブロックチェーン上で動作する分散型の匿名性を高めるためのトークンミキサーサービスです。このサービスは、ユーザーが送金する際のプライバシーを保護することを目的としており、送金の追跡を困難にすることで、ユーザーの匿名性を確保しています。しかし、最近の報告によると、Tornado Cashのバックエンドに悪意のあるコードが挿入され、ユーザーの預金データと資金が危険にさらされていることが明らかになりました。
この脆弱性は、ある開発者とされる人物が提出したガバナンス提案に隠されたJavaScriptコードによって引き起こされました。このコードは、ユーザーがTornado Cashに預けた資金のデータを外部のサーバーにリダイレクトし、そこからデータを漏洩させたり、資金を盗み出すことが可能になっています。実際に、盗まれた預金が確認されており、セキュリティ上の重大な問題であることが示されています。
この問題を解決するために、コミュニティメンバーのGas404は、Tornado Cashが以前のバージョンのIPFS ContextHashデプロイメントに戻ることを提案しています。これは、以前のより安全な状態にプロトコルを戻すことで、現在の脆弱性を修正しようとする試みです。
このような脆弱性の発見は、分散型ファイナンス(DeFi)のセキュリティに対する懸念を浮き彫りにします。DeFiプラットフォームは、従来の金融システムに代わるものとして注目されていますが、技術的な脆弱性や悪意ある攻撃によってユーザーの資産が危険にさらされるリスクがあります。このような事件は、DeFiプラットフォームのセキュリティ強化と、ユーザーの資産を保護するための規制の必要性を示唆しています。
また、この事件は、DeFiプラットフォームの透明性とガバナンスの重要性を強調しています。コードの変更や提案がコミュニティによって検証され、監視されることが不可欠であり、ユーザーの信頼を維持するためには、プラットフォームの運営が公正かつ透明であることが求められます。
長期的な視点では、このようなセキュリティインシデントは、DeFi業界全体の成熟度を高め、より堅牢なセキュリティ対策とガバナンス構造の構築に向けた動機付けとなる可能性があります。一方で、短期的には、ユーザーの信頼を損ない、DeFiプラットフォームへの投資を減少させる要因ともなり得ます。このため、DeFiプラットフォームは、セキュリティ対策の強化と、ユーザーとのコミュニケーションを通じて信頼を回復することが急務となっています。
from Tornado Cash Reportedly Suffers Backend Exploit, User Deposits at Risk.
