Please enable JavaScript.
Coggle requires JavaScript to display documents.
Tornado Cash, ATTACK :red_flag:, IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII…
-
-
-
-
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
-
-
Yam Finance https://yam.finance/ is a DAO project where community members can submit their proposals for changes in the functioning of the entire project. In the first phase, the proposal is submitted to the project forum, where it is presented, all the arguments for and against are discussed, and if it is accepted at this stage, it is submitted to an on-chain vote, the result of which is already binding for the entire project. One of the bizarre suggestions was made by the owner of the address 0x4429ABbF523bEf0f1E934B04CFf8584955C72548. To this end, he laundered Tornado Cash of ~ 200 ETH, which he distributed between three addresses that played specific roles in the later game. The first and second addresses were to collect a large number of votes, which would increase the chance of accepting the bad actor's proposal. Ultimately, the first wallet also served as an evacuation to the Tornado Cash service. A third wallet created a deal that won voting rights and made a proposal to be voted by the community and voted with all its power in favor of that proposal. Of course, also the first two addresses. Now let's pause for a moment and remember how many times we voted in DAO without fully understanding the subject?Without your own research and forming your own opinion? Additionally, if voting in DAO gives hope of getting an airdrop now or in the future, clicking is more in the field where the majority clicked. Undoubtedly, the proposal during the attack (because in the category of attacks you should definitely think about this activity) was not good for the project, because it assumed the payment of all funds from the project's treasury and sending it to an unauthorized and unknown address. Obviously, obtaining these data is possible only after fully familiarizing yourself with the on-chain records. The proposal appeared out of nowhere, was not discussed in the community, which aroused vigilance and led to the rejection of the proposal. After an unsuccessful attempt and the proposal was blocked, the funds were converted back to ETH and washed into Tornado Cash.
This case makes clear our unpreparedness for full decentralization. It was not knowledge and a sense of acting for the common good that caused the suspicious proposal to be never even voted on-chain, but the creators of the project and algorithms. Finally, I will consider aloud: what would be the outcome of the vote if no one reacted and allowed this dubious proposal to be voted on-chain ...?
Yam Finance https://yam.finance/ to projekt DAO, w którym członkowie społeczności mogą zgłaszać swoje propozycje zmian w funkcjonowaniu całego projektu. W pierwszej fazie propozycja jest przekazywana na forum projektowe, gdzie jest prezentowana, omawiane są wszystkie argumenty za i przeciw, a jeśli zostanie zaakceptowana na tym etapie, poddawana jest pod głosowanie na łańcuchu, wynik który jest już wiążący dla całego projektu. Jedna z dziwacznych sugestii została podana przez właściciela adresu 0x4429ABbF523bEf0f1E934B04CFf8584955C72548. W tym celu wyprał Tornado Cash o wartości ~200 ETH, które rozdał między trzema adresami, które odegrały określone role w późniejszej grze. Pierwsze i drugie adresy miały zebrać dużą liczbę głosów, co zwiększyłoby szansę na przyjęcie propozycji złego aktora. Ostatecznie pierwszy portfel służył również jako ewakuacja do serwisu Tornado Cash. Trzeci portfel stworzył umowę, która zdobyła prawa do głosowania i złożyła propozycję, która miała zostać przegłosowana przez społeczność i głosowała z całej siły za tą propozycją. Oczywiście również dwa pierwsze adresy. Zatrzymajmy się teraz na chwilę i przypomnijmy sobie ile razy głosowaliśmy w DAO bez pełnego zrozumienia tematu?Bez własnego researchu i wyrobienia sobie swojej opinii? Dodatkowo, jeśli głosowanie w DAO daje nadzieję na uzyskanie airdropa teraz, lub w przyszłości to klikanie jest bardziej w to pole, w które kliknęła większość. Niewątpliwie propozycja podczas ataku (bo w kategorii ataków zdecydowanie należy o tej działalności myśleć) nie była dla projektu dobra, bo zakładała w skrócie wypłatę wszystkich środków ze skarbca projektu i wysłanie na nieautoryzowany i nieznany adres. Oczywiście uzyskanie tych danych jest możliwe dopiero po pełnym zapoznaniu się z zapisami on-chain. Propozycja pojawiła się znikąd, nie była dyskutowana w środowisku, co wzbudziło czujność i doprowadziło do odrzucenia propozycji. Po nieudanej próbie i zablokowaniu propozycji, środki zostały zamienione z powrotem na ETH i przemyte Tornado Cash.
Ten przypadek jasno obnaża nasze nieprzygotowanie do pełnej decentralizacji. To nie wiedza i poczucie działania dla wspólnego dobra spowodowały, że podejrzana propozycja nie została nigdy nawet poddana głosowaniu on-chain, tylko twórcy projektu i algorytmy. Na koniec zastanowię się na głos: jaki byłby wynik głosowania, jeśli nikt by nie zareagował i pozwolił poddać pod głosowanie on-chain tej podejrzanej propozycji ... ?