Acryptoinvest.news: Ранее сегодня Maestro, один из крупнейших бот-проектов Telegram в экосистеме, столкнулся с серьезной брешью в безопасности.
Проект стал жертвой критической уязвимости безопасности в контракте Router2, что привело к несанкционированному переводу более 280 ETH (500 000 долларов США) с учетных записей пользователей. Maestro с тех пор решил эту проблему, хотя доступ к токенам в пулах ликвидности на некоторых DEX останется временно недоступным.
Контракт, предназначенный для управления логикой обмена токенов, содержал уязвимость, которая позволяла злоумышленникам совершать произвольные вызовы, что приводило к несанкционированной передаче активов. По данным охранной фирмы PeckShield, средства были переведены на платформу кросс-чейн обмена Railgun, вероятнее всего, в попытке скрыть их происхождение.
Суть проблемы заключалась в том, что контракт Router2 имел конструкцию прокси, которая позволяла вносить изменения в логику контракта без изменения его адреса, что обычно является функцией возможности обновления. Однако это также позволяло совершать произвольные и несанкционированные вызовы, позволяя злоумышленникам инициировать операции «transferFrom» между любыми утвержденными адресами.
В частности, злоумышленники могут ввести адрес токена в контракт Router2, установить функцию «transferFrom» и указать адрес жертвы в качестве отправителя, а свой собственный — в качестве получателя. Это привело к несанкционированным переводам токенов со счетов жертвы на счета злоумышленников.
Немедленный ответ: Maestro заморозила работу маршрутизатора
Примерно через 30 минут после первоначального обнаружения взлома Maestro действовал быстро и заменил логику контракта Router2 на безопасный контракт Counter, эффективно заморозив все операции маршрутизатора и ограничив любые дальнейшие несанкционированные передачи.
Maestro подтвердил, что уязвимость устранена. Однако токены в пулах SushiSwap, ShibaSwap и ETH PancakeSwap останутся временно недоступными, поскольку компания продолжает внутреннюю проверку.
Команда добавила, что вернет деньги пострадавшим пользователям. «Мы сообщим сообществу, как только будем готовы обработать возврат средств (надеемся, в течение дня)», — говорится в сообщении.
Обновление:
Maestro инициировал стратегию возврата средств. Пользователи, потерявшие токены во время эксплойта, получили полную компенсацию, а некоторые даже получили больше, чем их первоначальные активы.
Большинство использованных токенов команда решила приобрести и вернуть деньги напрямую. За два конкретных токена с недостаточной ликвидностью пострадавшие пользователи получили компенсацию в виде расширенного эквивалента ETH. Весь процесс возврата стоимостью 610 ETH был завершен в течение 10 часов после взлома.
