近日,区块链安全公司慢雾科技的创始人余弦在某知名平台发文指出,匿名协议Tornado Cash基于IPFS技术的前端界面中隐藏着一个严重的后门代码,该代码允许攻击者非法劫持用户的存款凭证。更令人担忧的是,这一安全隐患源于一次成功的治理攻击事件,攻击者借此机会悄然通过了一项恶意提案,使得含有后门的代码在系统中存在了近两个月的时间。
在这两个月窗口期内,理论上任何具备相应技术能力的攻击者均有可能利用此漏洞进行黑吃黑式的攻击行为,即在用户将资金投入Tornado Cash进行混淆交易时,悄无声息地盗取这些本应被保护的资金。此次事件再次引发了业界对于去中心化协议治理机制及其安全性问题的深入探讨与关注。