Den 31. oktober 202X led Garden Finance et betydeligt sikkerhedsbrud, der førte til tyveri af $10,8 millioner på tværs af flere blockchains. En betydelig del af disse stjålne midler, specifikt $6,65 millioner, blev efterfølgende kanaliseret gennem privacy mixeren Tornado Cash, hvilket intensiverede granskningen omkring forbindelsen Garden Finance exploit Tornado Cash og rejste bekymringer om sporing af midler og DeFi-sikkerhed.
Udpakning af Garden Finance-bruddet
Garden Finance-platformen blev offer for en betydelig udnyttelse den 31. oktober 202X, hvilket resulterede i ulovlig dræning af cirka $10,8 millioner i digitale aktiver. Dette multi-chain angreb påvirkede midler, der blev holdt på tværs af fremtrædende netværk, herunder Arbitrum, Ethereum og Solana. Blockchain-efterforsker ZachXBT var blandt de første til at identificere disse uautoriserede hævninger og bringe hændelsen frem i lyset.
Efter bruddet tilbød Garden Finance-teamet en 10% white-hat dusør til angriberen, en almindelig praksis i kryptorummet i håb om at få midlerne tilbage. Dette tilbud blev dog ikke besvaret, og i stedet begyndte gerningsmanden processen med at hvidvaske de stjålne aktiver gennem privacy protokoller, hvilket signalerede en klar hensigt om at skjule deres spor.
Sporing af stjålet krypto: Garden Finance exploit Tornado Cash Pipeline
Sikkerhedsfirmaet CertiK sporede omhyggeligt bevægelsen af de stjålne midler og bekræftede, at $6,65 millioner af den stjålne krypto faktisk blev overført til Tornado Cash. Dette beløb inkluderede en betydelig mængde på 501 BNB og 1.910 ETH, der bevidst blev dirigeret gennem mixeren for at anonymisere deres oprindelse og destination. Mens en stor del er blevet hvidvasket, forbliver angiveligt cirka $910.000 i stjålne aktiver i en angribers adresse, hvilket giver et glimt af håb om potentiel genopretning, dog lille.
Modstridende fortællinger: Teamets holdning versus on-chain virkelighed
I kølvandet på udnyttelsen udsendte Garden Finance-medstifter Jaz Gulati en opdatering den 5. november 202X, hvor han hævdede, at bruddet udelukkende var rettet mod en tredjeparts solvers web2-infrastruktur. Gulati erklærede eksplicit, at “Ingen brugerfonde eller protokolkontrakter blev påvirket,” og fastholdt, at “Alle systemer fungerede som tilsigtet under fejlforhold.” Teamet skitserede efterfølgende planer for operationel genoprettelse, forbedret solver-sikkerhed og integration af yderligere uafhængige solvers for at styrke redundansen.
Denne fortælling blev dog hurtigt udfordret af on-chain beviser. ZachXBT delte overbevisende skærmbilleder af en on-chain besked, der stammer fra en Garden deployer-adresse, direkte adresseret til angriberen. Denne besked modsagde skarpt den offentlige erklæring og indrømmede utvetydigt, at “vores systemer er blevet kompromitteret på tværs af flere blockchains.” Denne åbenlyse uoverensstemmelse mellem teamets offentlige forsikring og den verificerbare on-chain kommunikation rejste alvorlige spørgsmål om det sande omfang af bruddet og protokollens kommunikations gennemsigtighed.
Et mønster af kontroverser: Tidligere påstande og fremtidige implikationer
Garden Finance exploit Tornado Cash sagaen er yderligere kompliceret af allerede eksisterende påstande mod platformen. Før den seneste sikkerhedshændelse havde blockchain-efterforsker ZachXBT anklaget Garden Finance for at lette hvidvaskning af penge. Han hævdede, at over 25% af Gardens operationelle aktivitet var knyttet til hvidvaskede midler, der stammede fra store hacks, herunder et bemærkelsesværdigt $1,4 milliarder Bybit-brud.
Garden Finance blev udviklet af tidligere Ren Protocol-udviklere, hvilket tilføjer endnu et lag til denne komplekse fortælling. Ren Protocol havde selv en historie med at behandle over $540 millioner i ulovlige midler, før de blev fjernet fra store børser, hvilket kastede en lang skygge over dens efterfølger. Efterforskere har endda spekuleret i, at den berygtede DPRK-tilknyttede hackergruppe kendt som “Dangerous Password” muligvis har orkestreret Garden-angrebet, hvilket fremhæver de sofistikerede og vedvarende trusler, som DeFi-protokoller står over for. Med millioner nu skjult gennem en privacy protokol virker udsigterne til at få midlerne tilbage ekstremt små, hvilket understreger det kritiske behov for robuste sikkerhedsforanstaltninger og omhyggelig due diligence i det stadigt udviklende DeFi-landskab. For dem, der ønsker at navigere på disse komplekse markeder og overvåge sikkerhedstendenser, tilbyder værktøjer som cryptoview.io værdifuld indsigt.
