Mai devreme, Maestro, unul dintre cele mai mari proiecte de bot Telegram din ecosistem, s-a confruntat cu o breșă majoră de securitate.
Proiectul a căzut victima unei vulnerabilități critice de securitate din contractul Router2, care a dus la transferul neautorizat a peste 280 ETH (500.000 USD) din contul unui utilizator. Maestro a abordat această problemă, deși accesul la jetoanele din fondurile de lichiditate pe anumite DEX-uri va rămâne temporar inaccesibil.
Contractul, conceput pentru a gestiona logica schimbului de jetoane, conținea o vulnerabilitate care permitea atacatorilor să efectueze apeluri arbitrare, ducând la transferul neautorizat de active. Potrivit firma de securitate PeckShield, fondurile au fost transferate către platforma de schimb încrucișată Railgun, în încercarea de a le ascunde originile.
Miezul problemei constă în faptul că contractul Router2 are un design proxy care permite modificări în logica contractului fără schimbarea adresei, de obicei o caracteristică pentru upgrade. Cu toate acestea, permite, de asemenea, să fie efectuate apeluri arbitrare și neautorizate, permițând atacatorilor să inițieze operațiuni de „transferFrom” între orice adrese aprobate.
Mai exact, un atacator poate introduce o adresă de simbol în contractul Router2, poate seta funcția la „transferFrom” și poate enumera adresa victimei ca expeditor și adresa victimei ca destinatar. Acest lucru determină un transfer neautorizat de jetoane din contul victimei în contul atacatorului.
Răspuns imediat: Maestro îngheață operațiunile routerului
La aproximativ 30 de minute după descoperirea inițială a încălcării, Maestro a acționat rapid și a înlocuit logica contractului Router2 cu un contract inofensiv, care a înghețat efectiv toate operațiunile routerului și a restricționat transferurile neautorizate ulterioare.
Maestro a confirmat că vulnerabilitatea a fost rezolvată. Cu toate acestea, jetoanele din pool-urile SushiSwap, ShibaSwap și ETH ale PancakeSwap sunt temporar indisponibile, deoarece compania își continuă revizuirea internă.
Echipa a adăugat că va rambursa utilizatorii afectați. „Vom actualiza comunitatea de îndată ce suntem gata să procesăm rambursări (sperăm că astăzi) a spus el.
