Pažeistas Maestro Trading Bot saugumas, pranešta apie 281 ETH praradimą
Trumpai
Maestro prekybos robotas tapo kibernetinės atakos taikiniu, dėl kurio dėl saugumo priežiūros buvo prarasta maždaug 281 ETH.
Prekybos robotas Maestro atsidūrė kibernetinės atakos taiklyje, kurio metu dėl saugumo pažeidimo buvo nušviesta maždaug 281 ETH.
Konkreti Maestro maršruto 2 sutarties pažeidžiamumas buvo silpnoji grandis, kurią užpuolikas išnaudojo. Užpuolikas perkėlė žetonus į savo piniginę, ypač tuos, kurie iš anksto patvirtino šią konkrečią sutartį. Pardavęs šiuos žetonus, užpuolikas išplovė pajamas, paversdamas juos eteriais ir panaudojo RailGun maišytuvą, kad paslėptų pėdsakus.
Įžvalgomis pasidalino @MaestroBots socialiniame tinkle „Twitter“ gilinasi į technines atakos subtilybes. Įdomu tai, kad Maestro Router 2 sutartis veikia panašiai kaip į ERC1967 panašų tarpinį serverį. Ji deleguoja savo veiklą kitu adresu, atsakinga už logikos, susijusios su apsikeitimo sandoriais, priežiūrą ir blokų kūrėjų skatinimą.
Tačiau pažeidimo esmė buvo atskleista maršrutizatoriaus funkcija. Kai ši funkcija buvo iškviesta, ji buvo atidėta iki numatytos jos įgyvendinimo ir leido užpuolikui kelią pagrobti žetonus tiesiai iš nieko neįtariančių vartotojų per transferFrom metodas.
Išsamesnis tarpinio serverio diegimo sutarties tyrimas, padedamas tokių įrankių kaip @dedaub sutarties dekompiliatorius, atskleidė, kad ši jautri funkcija iš esmės žaliai apšviesta savavališkai iškviečia prieigos rakto sutartį. Tai atvėrė duris užpuolikui, kuris sumaniai panaudojo šią funkciją vykdydamas „transferFrom“ metodą, nukreipdamas į žetonų turėtojus, greitai sukaupdamas žetonus ir vėliau paversdamas juos ETH.
Atsakymas ir bendruomenės reakcijos
Greitai pašalinusi saugumo pažeidimą, Maestro komanda per pusvalandį pakeitė pažeisto maršruto parinktuvo diegimą vietos rezervavimo sutartimi. Šis aktyvus veiksmas užtikrino greitą maršrutizatoriaus veiklos nutraukimą ir sumažino bet kokius tolesnius neteisėtus perkėlimus ar praradimus.
Nepaisant šių pastangų, Maestro bendruomenę tebėra įtampa. Keletas „Twitter“ vartotojų išreiškia savo reikalavimus, išreikšdami pirmenybę kompensacijai žetonais, o ne ETH, ypač atsižvelgiant į galimą žetonų vertę ateityje.
Tiems, kurie nori išsamesnio šio incidento išskaidymo, nuorodų į techninius aspektus ir sandorių duomenis galite rasti „Phalcon“ sandorių tyrinėtojas. Maestro komanda aktyviai svarsto galimybę grąžinti nukentėjusiems vartotojams.
Atsakomybės neigimas
Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.
Apie autorių
Nikas yra patyręs analitikas ir rašytojas Metaverse Post, kuri specializuojasi teikiant pažangiausias įžvalgas apie greitą technologijų pasaulį, ypatingą dėmesį skiriant AI/ML, XR, VR, grandininei analizei ir blokų grandinės kūrimui. Jo straipsniai įtraukia ir informuoja įvairią auditoriją, padėdami jai neatsilikti nuo technologijų kreivės. Ekonomikos ir vadybos magistro laipsnį turintis Nikas puikiai suvokia verslo pasaulio niuansus ir jo sankirtą su naujomis technologijomis.
Daugiau straipsnių
Nikas yra patyręs analitikas ir rašytojas Metaverse Post, kuri specializuojasi teikiant pažangiausias įžvalgas apie greitą technologijų pasaulį, ypatingą dėmesį skiriant AI/ML, XR, VR, grandininei analizei ir blokų grandinės kūrimui. Jo straipsniai įtraukia ir informuoja įvairią auditoriją, padėdami jai neatsilikti nuo technologijų kreivės. Ekonomikos ir vadybos magistro laipsnį turintis Nikas puikiai suvokia verslo pasaulio niuansus ir jo sankirtą su naujomis technologijomis.
