Dzisiaj rano Maestro, jeden z największych projektów botów Telegram w ekosystemie, stanął w obliczu poważnego naruszenia bezpieczeństwa.
Projekt padł ofiarą krytycznej luki w zabezpieczeniach umowy Router2, w wyniku której nieautoryzowany transfer ponad 280 ETH (500 000 USD) z konta użytkownika. Maestro rozwiązał ten problem, chociaż dostęp do tokenów w pulach płynności na niektórych DEX-ach pozostanie tymczasowo niedostępny.
Umowa, mająca na celu zarządzanie logiką wymiany tokenów, zawierała lukę, która umożliwiała atakującym wykonywanie dowolnych wywołań, co prowadziło do nieautoryzowanego transferu zasobów. Według firmy ochroniarskiej PeckShield środki zostały przeniesione na międzyłańcuchową platformę wymiany Railgun w celu ukrycia ich pochodzenia.
Sedno problemu polega na tym, że kontrakt Router2 ma konstrukcję proxy, która umożliwia zmiany w logice kontraktu bez zmiany adresu, co jest zwykle cechą umożliwiającą aktualizację. Umożliwia jednak również wykonywanie dowolnych i nieautoryzowanych wywołań, umożliwiając atakującym inicjowanie operacji „transferFrom” pomiędzy dowolnymi zatwierdzonymi adresami.
W szczególności osoba atakująca może wstawić adres tokena do umowy Router2, ustawić funkcję na „transferFrom” i podać adres ofiary jako nadawcę, a adres ofiary jako adresata. Powoduje to nieautoryzowany transfer tokenów z konta ofiary na konto atakującego.
Natychmiastowa reakcja: Maestro zawiesza działanie routera
Około 30 minut po pierwszym wykryciu naruszenia Maestro działał szybko i zastąpił logikę kontraktu Router2 nieszkodliwą umową Counter, która skutecznie zamrażała wszystkie operacje routera i ograniczała dalsze nieautoryzowane transfery.
Maestro potwierdził, że luka została usunięta. Jednak tokeny w pulach SushiSwap, ShibaSwap i PancakeSwap ETH są tymczasowo niedostępne, ponieważ firma kontynuuje wewnętrzny przegląd.
Zespół dodał, że zwróci pieniądze dotkniętym użytkownikom. „Poinformujemy społeczność, gdy tylko będziemy gotowi do przetworzenia zwrotu pieniędzy (miejmy nadzieję, że jeszcze dzisiaj)” – powiedział.
