В IPFS-версії Tornado Cash знайшли бекдор

У фронтенді IPFS-версії криптовалютного міксера Tornado Cash виявили шкідливий бекдор. На це звернув увагу дослідник Gas404.

Після закриття основного сервісу вихідний код Tornado Cash використовували для створення нових даркнет-міксерів.

Імовірно, бекдор був прихований усередині пропозиції щодо управління, яку 1 січня виніс на голосування один із розробників. Після її затвердження шкідливий код проіснував майже два місяці.

З його допомогою зловмисник перенаправляв на власний сторонній сервер копії депозитних сертифікатів. Останні працюють як закриті ключі для поміщених у міксер коштів і можуть використовуватися для повторного доступу до активів після змішування.

Таким чином кошти деяких користувачів, які вносили в цей період депозити в Tornado Cash через шлюзи IPFS, ймовірно, були викрадені. Сума передбачуваного збитку поки невідома.

Нагадаємо, у серпні 2022 року OFAC внесло Tornado Cash до списку санкцій за участь у відмиванні злочинних коштів на суму понад $7 млрд.

Того самого місяця було заарештовано Олексія Перцева. У квітні 2023 року його запобіжний захід змінили на домашній арешт.

Пізніше влада США також висунула обвинувачення Роману Шторму і ще одному співзасновнику міксера Роману Семенову. Першого згодом звільнили під заставу. Другий залишився на волі, але потрапив під санкції.

Із січня 2024 року Шторм і Перцев збирають $1,5 млн на адвокатів. Для цих цілей створено фонд JusticeDAO. Ініціативу зокрема підтримав колишній співробітник АНБ і ЦРУ Едвард Сноуден, а також учасники криптоспільноти.