האבטחה של Maestro Trading Bot נפגעת, אובדן של 281 ETH דווח
בקיצור
בוט המסחר מאסטרו הפך למטרה של מתקפת סייבר, וכתוצאה מכך הפסד של כ-281 ETH בגלל פיקוח אבטחה.
בוט המסחר של מאסטרו מצא את עצמו על הכוונת של מתקפת סייבר, שראתה 281 ETH בקירוב נשמט עקב פגימה באבטחה.
פגיעות ספציפית בחוזה הנתב 2 של מאסטרו הייתה החוליה החלשה שהתוקף ניצל. התוקף העביר אסימונים לארנק שלו, במיוחד אלה עם אישור מוקדם על החוזה הספציפי הזה. לאחר מכירת האסימונים הללו, התוקף הלבין את ההכנסות על ידי המרתם לאתרים והשתמש במיקסר RailGun כדי להסתיר את עקבותיהם.
התובנות שחולקו על ידי @MaestroBots בטוויטר להתעמק במורכבויות הטכניות של המתקפה. חוזה הנתב 2 של מאסטרו, באופן מעניין, מתפקד כמו פרוקסי דמוי ERC1967. היא מאצילה את פעילותה לכתובת אחרת, האחראית לפקח על ההיגיון הקשור להחלפות ותמריץ בוני בלוקים.
עם זאת, עיקר הפרצה היה פונקציה חשופה בנתב. פונקציה זו, כאשר הופעלה, דחתה את היישום המיועד שלה ואפשרה לתוקף נתיב לגזל אסימונים ישירות ממשתמשים תמימים דרך transferFrom
שִׁיטָה.
חקירה מעמיקה יותר של חוזה יישום ה-proxy, בסיוע כלים כמו מפרקת החוזה של @dedaub, גילתה שהפונקציה הרגישה הזו בעצם קורא שרירותי באור ירוק לחוזה האסימון. זה פתח את הדלת עבור התוקף, שהשתמש בחוכמה בפונקציה הזו כדי לבצע את שיטת ה-'transferFrom', מכוון למחזיקי אסימונים, צבר במהירות את האסימונים ולאחר מכן המיר אותם ל-ETH.
תגובה ותגובות קהילה
פעל במהירות לאחר פרצת האבטחה, הצוות של Maestro החליף את היישום של הנתב שנפגע בחוזה Counter-placeholder תוך חצי שעה. צעד יזום זה הבטיח הפסקה מיידית של פעילות הנתב, ובולם כל העברות או הפסדים לא מורשים נוספים.
למרות המאמצים הללו, קהילת המאסטרו נותרה רצופת מתח. מספר משתמשים בטוויטר מביעים את דרישותיהם ומביעים את העדפתם להחזר באסימונים ולא ב-ETH, במיוחד לאור הערך העתידי הפוטנציאלי של האסימונים.
למי שמעוניין בנתיחה מפורטת יותר של אירוע זה, ניתן למצוא הפניות להיבטים הטכניים ונתוני העסקאות ב- חוקר העסקאות של פאלקון. צוות מאסטרו נמצא בהתלבטות פעילה בנוגע להחזר למשתמשים שנפגעו.
כתב ויתור
בקנה אחד עם הנחיות פרויקט אמון, אנא שים לב שהמידע המסופק בדף זה אינו מיועד ואין לפרש אותו כייעוץ משפטי, מס, השקעות, פיננסי או כל צורה אחרת של ייעוץ. חשוב להשקיע רק את מה שאתה יכול להרשות לעצמך להפסיד ולפנות לייעוץ פיננסי עצמאי אם יש לך ספק. למידע נוסף, אנו מציעים להתייחס לתנאים ולהגבלות וכן לדפי העזרה והתמיכה שסופקו על ידי המנפיק או המפרסם. MetaversePost מחויבת לדיווח מדויק וחסר פניות, אך תנאי השוק עשויים להשתנות ללא הודעה מוקדמת.
על המחבר
ניק הוא אנליסט וכותב מוכשר ב Metaverse Post, המתמחה באספקת תובנות חדשניות בעולם הטכנולוגיה המהיר, עם דגש מיוחד על AI/ML, XR, VR, אנליטיקה על השרשרת ופיתוח בלוקצ'יין. המאמרים שלו מעסיקים קהל מגוון ומודיעים להם, ועוזרים להם להקדים את העקומה הטכנולוגית. בעל תואר שני בכלכלה וניהול, לניק יש הבנה מוצקה של הניואנסים של עולם העסקים וההצטלבות שלו עם טכנולוגיות מתפתחות.
מאמרים נוספיםניק הוא אנליסט וכותב מוכשר ב Metaverse Post, המתמחה באספקת תובנות חדשניות בעולם הטכנולוגיה המהיר, עם דגש מיוחד על AI/ML, XR, VR, אנליטיקה על השרשרת ופיתוח בלוקצ'יין. המאמרים שלו מעסיקים קהל מגוון ומודיעים להם, ועוזרים להם להקדים את העקומה הטכנולוגית. בעל תואר שני בכלכלה וניהול, לניק יש הבנה מוצקה של הניואנסים של עולם העסקים וההצטלבות שלו עם טכנולוגיות מתפתחות.