Maestro, uno dei più grandi progetti bot di Telegram nell'ecosistema crittografico, oggi è stato vittima di una grave violazione della sicurezza, che ha comportato il trasferimento non autorizzato di oltre 280 ETH, per un importo sbalorditivo di $ 500.000, dagli account degli utenti. La violazione è derivata da una vulnerabilità critica scoperta nel suo contratto Router2, lasciando il progetto in subbuglio.
Di conseguenza, Maestro ha adottato misure per affrontare il problema. Tuttavia, ci sarà un'interruzione temporanea nell'accesso ai token all'interno dei pool di liquidità su specifici scambi decentralizzati (DEX).
Sfruttamento del difetto del contratto Router2
Il contratto Router2, un componente fondamentale progettato per gestire la logica alla base degli scambi di token, nascondeva una vulnerabilità che consentiva ad attori malintenzionati di eseguire chiamate arbitrarie, portando al trasferimento illecito di risorse.
La società di sicurezza PeckShield ha identificato che i fondi rubati sono arrivati alla piattaforma di scambio cross-chain Railgun, un probabile tentativo di offuscare la loro origine.
Siamo spiacenti di informare i nostri utenti che il Maestro Router è stato compromesso stasera. Abbiamo agito rapidamente e revocato tutte le funzionalità del router.
Per coloro che sono stati colpiti, verranno emessi rimborsi completi. Per coloro che non sono stati colpiti, i tuoi gettoni sono completamente al sicuro…
— Maestro (@MaestroBots) 25 ottobre 2023
Il problema risiede nella progettazione unica del contratto Router2, che utilizza un meccanismo proxy che facilita le modifiche nella logica del contratto senza richiedere un cambiamento nel suo indirizzo.
Sebbene questa funzionalità avesse lo scopo di consentire l'aggiornamento, ha inavvertitamente aperto un gateway per chiamate non autorizzate. Gli aggressori hanno sfruttato questa vulnerabilità per avviare operazioni “transferFrom” tra qualsiasi indirizzo approvato.
Gli aggressori hanno sfruttato una tecnica semplice ma potente. Inserendo un indirizzo token nel contratto Router2, impostano la funzione su "transferFrom", manipolando i dettagli del mittente per riflettere l'indirizzo della vittima e reindirizzando i token ai loro account. Questa tattica atroce ha portato al trasferimento non autorizzato di token dai conti delle vittime a quelli sotto il controllo degli aggressori.
Il Maestro spera di emettere tempestivamente i rimborsi
Rispondendo con encomiabile rapidità, il Maestro è intervenuto immediatamente. Entro 30 minuti dalla scoperta della violazione , il team ha sostituito la logica del contratto Router2 compromesso con un controcontratto benigno. Questa mossa tattica ha effettivamente congelato tutte le operazioni del router, impedendo ulteriori trasferimenti non autorizzati.
Sebbene gli sforzi diligenti di Maestro abbiano risolto con successo la vulnerabilità, i token ospitati in pool di liquidità su importanti scambi decentralizzati, tra cui SushiSwap, ShibaSwap ed ETH PancakeSwap, rimarranno temporaneamente inaccessibili poiché la società conduce un'approfondita revisione interna.
Assicurando gli utenti interessati, il team di Maestro ha annunciato il proprio impegno a rimborsare, si spera entro la giornata.
L'incidente arriva mentre la popolarità dei bot integrati in Telegram tra i trader di criptovalute è in aumento. Nonostante la loro comodità e facilità d’uso, gli esperti sollevano preoccupazioni riguardo alle misure di sicurezza implementate da questi bot nella gestione delle risorse degli utenti.
Il post Maestro Telegram Bot colpito da una violazione critica della sicurezza è apparso per la prima volta su CryptoPotato .