Sebelumnya hari ini, Maestro, salah satu proyek bot Telegram terbesar di ekosistemnya, menghadapi pelanggaran keamanan yang parah.
Proyek ini menjadi korban kerentanan keamanan kritis dalam kontrak Router2, yang mengakibatkan transfer tidak sah lebih dari 280 ETH ($500,000) dari akun pengguna. Maestro telah mengatasi masalah ini, meskipun akses ke token dalam kumpulan likuiditas di DEX tertentu akan tetap tidak dapat diakses untuk sementara.
Kontrak tersebut, yang dirancang untuk mengelola logika pertukaran token, mengandung kerentanan yang memungkinkan penyerang melakukan panggilan sewenang-wenang, yang menyebabkan transfer aset tanpa izin. Menurut perusahaan keamanan PeckShield, dana tersebut ditransfer ke platform pertukaran lintas rantai Railgun dalam upaya untuk mengaburkan asal usulnya.
Inti masalahnya terletak pada kenyataan bahwa kontrak Router2 memiliki desain proxy yang mengizinkan perubahan dalam logika kontrak tanpa mengubah alamatnya, biasanya merupakan fitur untuk kemampuan upgrade. Namun, hal ini juga memungkinkan dilakukannya panggilan sewenang-wenang dan tidak sah, sehingga memungkinkan penyerang memulai operasi "transferFrom" antara alamat mana pun yang disetujui.
Secara khusus, penyerang dapat memasukkan alamat token ke dalam kontrak Router2, mengatur fungsinya menjadi "transferFrom", dan mencantumkan alamat korban sebagai pengirim dan alamat korban sebagai penerima. Hal ini menyebabkan transfer token yang tidak sah dari akun korban ke akun penyerang.
Tanggapan segera: Maestro membekukan operasi router
Kira-kira 30 menit setelah penemuan awal pelanggaran tersebut, Maestro bertindak cepat dan mengganti logika kontrak Router2 dengan kontrak Counter yang tidak berbahaya, yang secara efektif membekukan semua operasi router dan membatasi transfer tidak sah lebih lanjut.
Maestro membenarkan bahwa kerentanan tersebut telah teratasi. Namun, token di kumpulan SushiSwap, ShibaSwap, dan ETH PancakeSwap untuk sementara tidak tersedia karena perusahaan melanjutkan tinjauan internalnya.
Tim menambahkan bahwa mereka akan mengembalikan dana pengguna yang terkena dampak. “Kami akan mengabari komunitas segera setelah kami siap memproses pengembalian dana (mudah-mudahan dalam hari ini),” katanya .
