Gli hacker hanno recentemente sfruttato una vulnerabilità del contratto intelligente nel bot di trading Maestro Telegram, portando al furto di 280 Ethereum (ETH), equivalenti a circa 500.000 dollari. L'attacco ha individuato un difetto di chiamata esterna all'interno del contratto intelligente Maestro Router 2, come dettagliato dalla società di sicurezza blockchain Beosin su Twitter. Gli autori del reato hanno manipolato la funzione di trasferimento del contratto, travasando di fatto i token degli utenti nei loro portafogli.
Inoltre, le ripercussioni dell'incidente si sono estese ad una consistente operazione di phishing, compromettendo 37 milioni di token JOE. Le informazioni, trasmesse dall'autorità di analisi blockchain PeckShield, hanno evidenziato la gravità della violazione della sicurezza. Il mercato dei token JOE ha reagito prontamente, crollando di oltre il 30%, aggravando la situazione a causa dell'incapacità di Maestro di procurarsi token JOE per il rimborso agli utenti a causa di vincoli di liquidità.
Tuttavia, in mezzo al tumulto, gli hacker hanno optato per un ulteriore velo di anonimato spostando l'ETH rubato su Railgun, uno strumento per la privacy nel regno delle criptovalute noto per oscurare i dettagli delle transazioni.
Rispondendo rapidamente, il team Maestro ha avviato misure correttive, rafforzando i propri sistemi contro tali vulnerabilità. Attraverso la comunicazione su Twitter hanno assicurato agli utenti che il router aggiornato era ora al sicuro dagli exploit. Tuttavia, hanno anche temporaneamente sospeso le attività di trading che coinvolgono token raggruppati su diverse altre piattaforme di swap, tra cui SushiSwap, ShibaSwap ed ETH PancakeSwap.
Con una mossa incoraggiante, Maestro si è assunto la responsabilità di rimborsare le parti interessate. Hanno deciso di acquistare i token effettivi per garantire un rimborso equo e completo rispetto al semplice trasferimento di ETH alle vittime. Questa decisione ha riguardato i token più colpiti, segnando un impegno per una risoluzione equa.
Nonostante le tempestive azioni correttive, questo incidente sottolinea i rischi intrinseci del trading di bot che richiedono agli utenti di cedere le proprie chiavi private. Tali pratiche contraddicono nettamente l’adagio della finanza decentralizzata: “non le tue chiavi, non le tue monete”. Significa un compromesso tra potenziali profitti e il pericolo di esporre le proprie chiavi private, l'equivalente crittografico di consegnare le chiavi al proprio caveau.
Sebbene limitato al componente router e non comprometta le credenziali del portafoglio, l’exploit ha suscitato un’ondata di cautela all’interno della comunità crittografica. È un duro promemoria delle vulnerabilità in agguato all’interno dei sistemi complessi e della costante vigilanza necessaria per salvaguardare le risorse digitali.