Varnost trgovalnega bota Maestro ogrožena, poročali o izgubi 281 ETH
Na kratko
Trgovalni bot Maestro je postal tarča kibernetskega napada, kar je povzročilo izgubo približno 281 ETH zaradi varnostnega nadzora.
Trgovalni bot Maestro se je znašel na udaru kibernetskega napada, ki je zaradi varnostne napake odnesel približno 281 ETH.
Posebna ranljivost v pogodbi Router 2 družbe Maestro je bila šibka povezava, ki jo je napadalec izkoristil. Napadalec je prenesel žetone v lastno denarnico, zlasti tiste s predhodno odobritvijo te pogodbe. Po prodaji teh žetonov je napadalec izkupiček opral tako, da ga je pretvoril v etre in uporabil mešalnik RailGun, da je skril svoje sledi.
Spoznanja, ki jih je delil @MaestroBots na Twitterju se poglobite v tehnične zapletenosti napada. Zanimivo je, da Maestrova pogodba Router 2 deluje podobno kot proxy, podoben ERC1967. Svoje operacije prenese na drug naslov, ki je odgovoren za nadzor nad logiko, povezano z zamenjavami, in spodbujanje graditeljev blokov.
Vendar pa je bistvo kršitve bila izpostavljena funkcija na usmerjevalniku. Ta funkcija se je, ko je bila priklicana, preložila na svojo določeno izvedbo in napadalcu omogočila pot do kraje žetonov neposredno od nič hudega slutečih uporabnikov prek transferFrom
metoda.
Poglobljena preiskava pogodbe o izvajanju posredniškega strežnika s pomočjo orodij, kot je dekompilator pogodbe @dedaub, je razkrila, da ta dovzetna funkcija v bistvu zeleno osvetli poljubne klice pogodbe žetona. To je odprlo vrata napadalcu, ki je to funkcijo premeteno uporabil za izvedbo metode 'transferFrom', ki je ciljala na imetnike žetonov, hitro kopičila žetone in jih nato pretvorila v ETH.
Odziv in reakcije skupnosti
S hitrim ukrepanjem po kršitvi varnosti je Maestrova ekipa v pol ure zamenjala implementacijo ogroženega usmerjevalnika s pogodbo Counter placeholder. Ta proaktivni korak je zagotovil takojšnjo prekinitev delovanja usmerjevalnika in omejil morebitne nadaljnje nepooblaščene prenose ali izgube.
Kljub tem prizadevanjem je skupnost Maestro še vedno polna napetosti. Več uporabnikov na Twitterju izraža svoje zahteve in daje prednost povračilu v žetonih namesto v ETH, zlasti glede na potencialno prihodnjo vrednost žetonov.
Za tiste, ki bi radi podrobneje razčlenili ta incident, lahko sklicevanja na tehnične vidike in transakcijske podatke najdete na Phalconov raziskovalec transakcij. Ekipa Maestra aktivno razpravlja o povrnitvi škode za prizadete uporabnike.
Zavrnitev odgovornosti
V skladu z Smernice projekta Trust, upoštevajte, da informacije na tej strani niso namenjene in se jih ne sme razlagati kot pravni, davčni, naložbeni, finančni ali kakršen koli drug nasvet. Pomembno je, da vlagate samo tisto, kar si lahko privoščite izgubiti, in da poiščete neodvisen finančni nasvet, če imate kakršne koli dvome. Za dodatne informacije predlagamo, da si ogledate določila in pogoje ter strani s pomočjo in podporo, ki jih nudi izdajatelj ali oglaševalec. MetaversePost se zavzema za natančno in nepristransko poročanje, vendar se tržni pogoji lahko spremenijo brez predhodnega obvestila.
O avtorju
Nik je uspešen analitik in pisec pri Metaverse Post, specializirano za zagotavljanje najsodobnejših vpogledov v hiter svet tehnologije, s posebnim poudarkom na AI/ML, XR, VR, verižni analitiki in razvoju blokovnih verig. Njegovi članki privabljajo in obveščajo raznoliko občinstvo ter jim pomagajo ostati pred tehnološko krivuljo. Po izobrazbi magisterij iz ekonomije in menedžmenta Nik dobro razume nianse poslovnega sveta in njegovega presečišča z nastajajočimi tehnologijami.
več člankovNik je uspešen analitik in pisec pri Metaverse Post, specializirano za zagotavljanje najsodobnejših vpogledov v hiter svet tehnologije, s posebnim poudarkom na AI/ML, XR, VR, verižni analitiki in razvoju blokovnih verig. Njegovi članki privabljajo in obveščajo raznoliko občinstvo ter jim pomagajo ostati pred tehnološko krivuljo. Po izobrazbi magisterij iz ekonomije in menedžmenta Nik dobro razume nianse poslovnega sveta in njegovega presečišča z nastajajočimi tehnologijami.