Offenlegung von Sicherheitslücken – Tornado Cash


Dies ist eine vollständige Offenlegung einer Sicherheitsanfälligkeit, die wir zuvor veröffentlicht haben

Das potenzielle Leck wurde vor zwei Wochen entdeckt und sofort deaktiviert, um eine zukünftige Exposition zu verhindern.

Das Leck konnte nur in einem zweistufigen Prozess auftreten. Zuerst musste ein Benutzer auf die Schaltfläche "URL freigeben" klicken, um eine URL zu erstellen, die Ihre privaten Notizinformationen enthielt, wie z. Wenn der Benutzer danach die vollständige URL im Browser geöffnet hat, enthielten die von dieser Seite an die Dienste von Drittanbietern gestellten Anforderungen Notizdaten in der Referer HTTP-Header. Wenn einer dieser Dienste diesen Header protokolliert, kann er daher auf die Notizdaten zugreifen. Dies bedeutete die Möglichkeit, Geld von nicht ausgegebenen Banknoten abzuheben und einen Zusammenhang zwischen Ein- und Auszahlungen für die ausgegebenen Banknoten aufzudecken.

Hier ist eine Liste der Dienste von Drittanbietern, die von der Benutzeroberfläche von Tornado.cash verwendet werden:

Einer dieser Dienste war unser eigener ip.tornado.cash-Server. Mithilfe der Protokolle konnten wir die Liste der freigelegten Notizen neu erstellen. Insgesamt gab es 98 Banknoten, von denen 12 nicht ausgegeben wurden. Zum Zeitpunkt der Veröffentlichung dieses Beitrags sind nur noch 7 nicht ausgegebene Notizen mit einem Gesamtvolumen von 2,5 ETH übrig.

Wir möchten noch einmal betonen, dass alle anderen Benutzer, die BEIDE Schritte nie ausgeführt haben, nicht betroffen waren. Glücklicherweise war dieses Engagement begrenzt, wurde früh entdeckt und niemand meldete einen Verlust von Geldern.

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

Werbung: Immobilienmakler HeidelbergMakler Heidelberg

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close