Безопасность торгового бота Maestro скомпрометирована, сообщается о потере 281 ETH
Коротко
Торговый бот Maestro стал объектом кибератаки, в результате которой из-за недосмотра безопасности было потеряно около 281 ETH.
Торговый бот Maestro оказался под прицелом кибератаки, в результате которой из-за нарушения безопасности было похищено около 281 ETH.
Слабым звеном, которым воспользовался злоумышленник, стала конкретная уязвимость в контракте Router 2 компании Maestro. Злоумышленник перевел токены на свой кошелек, особенно те, которые получили предварительное одобрение по данному конкретному контракту. После продажи этих токенов злоумышленник отмыл доходы, конвертировав их в эфиры, и использовал микшер RailGun, чтобы скрыть свои следы.
Идеи, которыми поделились @MaestroBots в Твиттере вникают в технические тонкости атаки. Интересно, что контракт Maestro Router 2 функционирует аналогично прокси-серверу, подобному ERC1967. Он делегирует свои операции на другой адрес, отвечающий за контроль логики, связанной с свопами, и стимулирование сборщиков блоков.
Однако суть взлома заключалась в раскрытой функции маршрутизатора. Эта функция при вызове откладывалась к назначенной реализации и позволяла злоумышленнику украсть токены непосредственно у ничего не подозревающих пользователей через transferFrom
метод.
Более глубокое исследование контракта реализации прокси-сервера с помощью таких инструментов, как декомпилятор контракта @dedaub, показало, что эта уязвимая функция по сути дает зеленый свет произвольным вызовам контракта токена. Это открыло дверь для злоумышленника, который ловко использовал эту функцию для выполнения метода «transferFrom», нацеленного на держателей токенов, быстрого накопления токенов и последующей конвертации их в ETH.
Ответ и реакция сообщества
Действуя оперативно после нарушения безопасности, команда Maestro в течение получаса заменила реализацию скомпрометированного маршрутизатора контрактом счетчика-заполнителя. Этот упреждающий шаг обеспечил немедленное прекращение работы маршрутизатора, предотвращая любые дальнейшие несанкционированные передачи или потери.
Несмотря на эти усилия, в сообществе Maestro по-прежнему сохраняется напряжение. Несколько пользователей в Твиттере высказывают свои требования, выражая предпочтение возмещению в токенах, а не в ETH, особенно с учетом потенциальной будущей стоимости токенов.
Для тех, кто заинтересован в более подробном анализе этого инцидента, ссылки на технические аспекты и данные о транзакциях можно найти на сайте Обозреватель транзакций Phalcon. Команда Maestro активно обсуждает возможность возмещения ущерба пострадавшим пользователям.
Отказ от ответственности
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Ник — опытный аналитик и писатель в Metaverse Post, специализирующаяся на предоставлении передовых знаний о быстро меняющемся мире технологий с особым акцентом на AI / ML, XR, VR, аналитику в цепочке и разработку блокчейна. Его статьи вовлекают и информируют разнообразную аудиторию, помогая ей опережать технологические достижения. Обладая степенью магистра экономики и менеджмента, Ник хорошо разбирается в нюансах делового мира и его взаимосвязи с новыми технологиями.
Другие статьиНик — опытный аналитик и писатель в Metaverse Post, специализирующаяся на предоставлении передовых знаний о быстро меняющемся мире технологий с особым акцентом на AI / ML, XR, VR, аналитику в цепочке и разработку блокчейна. Его статьи вовлекают и информируют разнообразную аудиторию, помогая ей опережать технологические достижения. Обладая степенью магистра экономики и менеджмента, Ник хорошо разбирается в нюансах делового мира и его взаимосвязи с новыми технологиями.