Este sábado, la DAO (iniciales de Organización Autónoma Descentralizada), Tornado Cash, sufrió un ataque de gobernanza por parte de uno o varios piratas informáticos. Mediante una propuesta maliciosa, los atacantes lograron tomar el control de la organización. El resultado podría ser abrir una fuga de tesorería.
De esta manera, las operaciones de manejo de esta DAO, así como los fondos y planes futuros, pasaron al control del atacante no identificado. Todo este control usurpado, generalmente permite hacer despliegues de fondos de tesorería que beneficien el proyecto hasta la expansión hacia otras redes, explica CoinDesk.
De cualquier manera, este sábado, el atacante logró enviar una propuesta maliciosa con una función de código oculta que ahora le permite todo el control. Esto último a través de votos falsos que le habilitan para manejar diversos aspectos de la DAO.
Tornado Cash busca recuperarse de ataque de gobernanza
Este ataque de gobernanza sufrido por Tornado Cash hace cuesta arriba una recuperación efectiva, dado que se trata de votos usurpados. “Ahora que tienen todos los votos pueden hacer lo que quieran“, expresó en Twitter un investigador de seguridad citado en el mismo medio.
Entre los aspectos que ahora están bajo control de los atacantes se cuenta el manejo de los Torn retenidos en el contrato principal de gobernanza. Básicamente, esto se lo permitieron por medio de una presentación de propuesta. La misma imitaba una versión anterior.
La gran diferencia es que contenía un código malicioso que permitía una update of logic y daba al atacante el control de todos los votos de gobernanza. “En este caso retiraron 10.000 votos como Torn y los vendieron todos“, explica el mencionado investigador de seguridad.
En consecuencia, este ataque de gobernanza contra Tornado Cash se convierte en uno muy difícil de revertir por el poder adquirido por el atacante. La comunidad de Tornado piensa en algunas propuestas que permitan salir del mal momento.
Algunas características del ataque
Como todos los ataques efectuados por piratas informáticos, este de gobernanza contra Tornado Cash tiene un objetivo y es el dinero. En ese sentido, el atacante habría acuñado 1 millón de tokens (Torn) para él. Estos contaban con un valor aproximado de $4 millones de dólares.
Es importante tener en mente que este ataque no afectó el protocolo actual de Tornado. Este último permite a los usuarios mover fondos dentro del servicio para ocultar movimientos de fondo y direcciones encriptadas. De tal manera, el ataque no fue una vulneración de contratos inteligentes o cualquier tecnología de sensibilidad para el funcionamiento de Tornado Cash.
En todo caso, la propuesta enviada hoy por una dirección vinculada a los atacantes, contempla la eliminación del código malicioso que el atacante integró. Con esto se restauraría la gobernanza de la DAO. Según portales especializados, la propuesta se aprobaría cuando cierre la votación el 26 de mayo. No obstante, todavía no está claro cuando se implementará de ser aprobada.
Vale la pena destacar que este ataque de gobernanza contra Tornado Cash se debe asumir como un recordatorio de las medidas de seguridad de los usuarios. En otras palabras, antes de participar en cualquier propuesta DAO, se deben contemplar los aspectos de seguridad y de lógica. El control total sobre Tornado permitió a los atacantes tener todo el control, a pesar de que ellos mismos ahora parecen apostar por revertir el ataque.
Algunas posibles normas de seguridad para evitar futuros ataques
Hasta el momento no existe información disponible sobre medidas puntuales que se vaya a tomar para prevenir futuros ataques. Sin embargo, existen numerosas medidas que se deben tomar para evitar ataques maliciosos contra las DAO como Tornado Cash. A continuación, se presentan las cinco más fundamentales:
- Realizar auditorías periódicas de seguridad en las que se puedan identificar los puntos vulnerables y las debilidades del sistema.
- Implementar protecciones para bloquear operaciones con direcciones de billeteras de Tornado Cash. Así se pueden verificar las trasferencias contaminadas.
- Garantizar que los equipos de cumplimiento utilicen análisis blockchain. El objetivo de esto es identificar billeteras y transacciones que estén amenazadas por exposición.
- Educar a los usuarios de cómo utilizar la plataforma de manera segura.
- Promocionar la adopción de medidas de seguridad por parte de todos los usuarios para que la plataforma sea más segura para toda la comunidad.
Aunque estos puntos probablemente no puedan evitar un ataque de gobernanza como el sufrido por Tornado Cash, al menos minimizarán las posibilidades. Mantener la alta vigilancia es fundamental para las DAO, ya que esto puede disuadir a los atacantes, los cuales eligen víctimas con más probabilidades para ellos.
