Tornado Cash: Un ataque a la gobernanza hizo que la DAO perdiera el control del protocolo

Tornado Cash: Un ataque a la gobernanza hizo que la DAO perdiera el control del protocolo

El funcionamiento de Tornado Cash, que permite a las personas ocultar el origen o destino de sus criptomonedas y tokens, no se ha visto afectado por el secuestro de su gobernanza.

Una propuesta de gobernanza maliciosa ha permitido a un atacante secuestrar el gobierno de Tornado Cash, tomando el control de la entidad que gestiona el protocolo, Tornado Cash DAO.

Según los informes, un atacante desconocido logró engañar a los miembros de la DAO de Tornado Cash, para que aprobaran una propuesta de gobernanza maliciosa con la que tomaría control de la DAO. El atacante concedió 1,2 millones de votos falsos a dicha propuesta, superando los 700.000 votos legítimos de la criptocomunidad. 

Aunque el secuestro de Tornado Cash DAO no afecta las operaciones del protocolo como tal, sí pone en riesgo su tesorería comunitaria. La DAO de Tornado Cash es la responsable de gestionar los fondos depositados en el contrato de gobierno del protocolo de mezclado, así como de aprobar nuevas implementaciones, mejoras y actualizaciones. 

Una propuesta de gobernanza engañosa

La propuesta de gobernanza maliciosa, que fue aprobada por los miembros de la DAO el pasado sábado, ocultaba una función adicional con la que el atacante tomaría control del gobierno de la organización descentralizada.

El investigador de seguridad de Paradigm, @samczsun, quien explicó la hazaña del atacante de la DAO de Tornado Cash en Twitter, llamó a la criptocomunidad a tener cuidado con las votaciones de gobernanza. 

En este caso, la propuesta maliciosa no afecta el funcionamiento del protocolo de privacidad y tampoco representa una vulnerabilidad o exploit en su código. Sin embargo, permitió al atacante actualizar la lógica de la propuesta para otorgarse los votos falsos y tomar el control de la DAO. 

Se mueven miles de tokens TORN

Los datos en cadena muestran que el atacante de Tornado Cash DAO ha obtenido un total de 483.000 tokens TORN del contrato de gobierno del protocolo. De estos, 6.000 TORN han sido depositados en la plataforma Bitrue y 379.300 TORN se intercambiaron por 375 ETH, por un valor aproximado de $680.000 dólares al momento del intercambio. 

El precio del token TORN ha caído más de 20% en las últimas horas, cotizando sobre los $4,6 dólares, según los datos de CoinMarketCap, al momento de escribir este artículo. 

 

Precio de Tornado Cash (TORN).
Precio de Tornado Cash (TORN).
Fuente: CoinMarketCap

Los exchanges de criptomonedas han comenzado a detener los depósitos de TORN debido al ataque a la gobernanza de Tornado Cash, mientras que los miembros de la DAO están creando nuevas propuestas de gobernanza para revertir los cambios que fueron aprobados de forma engañosa y solicitando a la comunidad retirar los fondos bloqueados en la gobernanza.

¿Qué es Tornado Cash?

Tornado Cash es un protocolo de privacidad que mezcla las transacciones de criptomonedas para permitir a sus usuarios ocultar el origen y destino de sus fondos. 

Este protocolo funciona mediante contratos inteligentes que mezclan las transacciones de los usuarios realizadas desde una dirección y permite el retiro de los fondos desde otra dirección diferente, con el fin de dificultar su seguimiento y rastreo.

El año pasado, el Departamento del Tesoro de los Estados Unidos sancionó a Tornado Cash, señalando que este protocolo ha facilitado a los ciberdelincuentes el lavado de varios millones de dólares en criptomonedas. El Departamento del Tesoro también manifestó que Tornado Cash es una herramienta que ayuda a las entidades sancionadas a evadir el bloqueo económico impuesto por el gobierno. 

Sin embargo, la criptocomunidad y sus líderes se manifestaron en contra de estas sanciones. Charles Hoskinson, fundador de Cardano, aseguró que las acciones del Departamento del Tesoro contra Tornado Cash establecen un precedente peligroso para la industria cripto, además de que atentan contra la libertad de expresión y el desarrollo de software libre. 

Continúa leyendo: ¿Es ilegal el código abierto de Tornado Cash en Estados Unidos?