Безпека торгового бота Maestro порушена, повідомляється про втрату 281 ETH
Коротко
Торговий бот Maestro став об’єктом кібератаки, що призвело до втрати приблизно 281 ETH через недогляд у системі безпеки.
Торговий бот Maestro опинився під прицілом кібератаки, у результаті якої було виведено приблизно 281 ETH через пробій у безпеці.
Особливою вразливістю в контракті Maestro Router 2 була слабка ланка, якою скористався зловмисник. Зловмисник перевів токени на свій власний гаманець, зокрема ті, які мають попереднє схвалення цього конкретного контракту. Після продажу цих токенів зловмисник відмивав виручені кошти, перетворюючи їх на ефіри, і використовував мікшер RailGun, щоб приховати свої треки.
Ідеї, якими поділився @MaestroBots у Twitter заглибитись у технічні тонкощі атаки. Контракт Router 2 Maestro, що цікаво, функціонує подібно до проксі-сервера, схожого на ERC1967. Він делегує свої операції іншій адресі, відповідальній за нагляд за логікою, пов’язаною зі свопами, і заохочення розробників блоків.
Однак суть порушення полягала в розкритій функції на маршрутизаторі. Під час виклику ця функція відкладала її призначену реалізацію та дозволяла зловмиснику викрадати токени безпосередньо від нічого не підозрюючих користувачів через transferFrom метод.
Більш глибоке дослідження контракту реалізації проксі-сервера за допомогою таких інструментів, як декомпілятор контрактів @dedaub, виявило, що ця сприйнятлива функція по суті використовує довільні виклики контракту маркера. Це відкрило двері для зловмисника, який спритно використав цю функцію для виконання методу «transferFrom», націлюючись на власників токенів, швидко накопичуючи токени та згодом перетворюючи їх на ETH.
Відповідь і реакція спільноти
Швидко діючи після порушення безпеки, команда Maestro замінила реалізацію скомпрометованого маршрутизатора контрактом Counter-заповнювача протягом півгодини. Цей проактивний крок забезпечив негайне припинення роботи маршрутизатора, стримуючи будь-які подальші неавторизовані передачі чи втрати.
Незважаючи на ці зусилля, у спільноті Maestro все ще панує напруга. Кілька користувачів у Twitter висловлюють свої вимоги, висловлюючи перевагу відшкодуванню в токенах, а не в ETH, особливо з огляду на потенційну майбутню вартість жетонів.
Для тих, хто хоче більш детально розібрати цей інцидент, посилання на технічні аспекти та транзакційні дані можна знайти на Провідник транзакцій Phalcon. Команда Maestro активно обговорює питання компенсації постраждалим користувачам.
відмова
Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.
про автора
Нік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.
інші статті
Нік є досвідченим аналітиком і письменником Metaverse Post, що спеціалізується на наданні передової інформації про динамічний світ технологій, з особливим акцентом на AI/ML, XR, VR, онлайн-аналітиці та розробці блокчейнів. Його статті залучають та інформують різноманітну аудиторію, допомагаючи їй залишатися попереду технологічного розвитку. Маючи ступінь магістра економіки та менеджменту, Нік добре розуміє нюанси ділового світу та його перетину з новими технологіями.
