O projeto Maestro, um dos maiores bots do Telegram no ecossistema, sofreu uma grave violação de segurança. A plataforma foi vítima de uma vulnerabilidade crítica em seu contrato Router2, resultando na transferência não autorizada de mais de 280 ETH (equivalente a US$ 500.000) das contas dos usuários.
O contrato, projetado para gerenciar a lógica de trocas de tokens, continha uma falha que permitia aos invasores fazer chamadas arbitrárias, levando às transferências não autorizadas de ativos.
#PeckShieldAlert #Phishing #Fake_Phishing188297 has transferred 280 $ETH ($500K) to #Railgun.
These $ETH were stolen as a result of a contract exploit on Maestro bots. pic.twitter.com/1QQCJT9EDL— PeckShieldAlert (@PeckShieldAlert) October 25, 2023
A firma de segurança PeckShield informou que os fundos foram transferidos para a plataforma de câmbio cross-chain Railgun, provavelmente numa tentativa de ocultar sua origem.
Detalhes da exploração do contrato
O cerne do problema estava no fato de que o contrato Router2 possuía um design de proxy que permitia mudanças na lógica do contrato sem alterar seu endereço, uma característica geralmente usada para atualizações.
No entanto, isso também permitiu chamadas arbitrárias e não autorizadas, possibilitando aos invasores iniciar operações de ‘transferFrom’ entre quaisquer endereços aprovados.
Especificamente, os invasores podiam inserir um endereço de token no contrato Router2, definir a função para ‘transferFrom’, e listar o endereço da vítima como remetente e o deles como destinatário, resultando em transferências não autorizadas de tokens das contas das vítimas para as dos invasores.
Resposta imediata e medidas tomadas
Cerca de 30 minutos após a descoberta inicial da violação, a equipe do Maestro agiu rapidamente e substituiu a lógica do contrato Router2 por um contrato Counter benigno, efetivamente congelando todas as operações do roteador e impedindo quaisquer transferências não autorizadas adicionais.
➡️ The router exploit has been fully identified and dealt with.
👇
Our router has been updated to a safe, exploit-free implementation. Trading can resume as normal, but tokens with pools on SushiSwap, ShibaSwap, and ETH PancakeSwap will be temporarily unavailable.Thank you…
— Maestro🤖🤖 (@MaestroBots) October 25, 2023
O Maestro confirmou que a vulnerabilidade foi resolvida. No entanto, tokens em pools do SushiSwap, ShibaSwap e ETH PancakeSwap permanecerão temporariamente indisponíveis enquanto a empresa continua sua revisão interna. A equipe também anunciou que reembolsará os usuários afetados e atualizará a comunidade assim que estiver pronta para processar os reembolsos.
