Il bot Maestro di Telegram ha violato 280 ETH rubati in una falla nello smarttrac

Di recente, gli hacker hanno sfruttato una vulnerabilità di uno smarttracnel bot di trading Maestro su Telegram, portando al furto di 280 Ethereum (ETH), equivalenti a circa 500.000 dollari. L'attacco ha individuato una falla di chiamata esterna nello smarttracMaestro Router 2, come dettagliato dalla società di sicurezza blockchain Beosin su Twitter. Gli autori hanno manipolato la funzione di trasferimento deltrac, sottraendo di fatto i token degli utenti ai loro wallet.

Inoltre, le ripercussionidentsi sono estese a un'importante operazione di phishing, compromettendo 37 milioni di token JOE. Le informazioni, trasmesse dall'autorità di analisi blockchain PeckShield, hanno evidenziato la gravità della violazione della sicurezza. Il mercato dei token JOE ha reagito prontamente, crollando di oltre il 30%, aggravando la situazione a causa dell'incapacità di Maestro di procurarsi token JOE per il rimborso degli utenti a causa di vincoli di liquidità.

Tuttavia, nel mezzo di tutto questo trambusto, gli hacker hanno optato per un ulteriore velo di anonimato spostando gli ETH rubati su Railgun, uno strumento di privacy nel mondo delle criptovalute noto per oscurare i dettagli delle transazioni.

Reagendo rapidamente, il team di Maestro ha avviato misure correttive, rafforzando i propri sistemi contro tali vulnerabilità. Ha rassicurato gli utenti tramite Twitter che il router aggiornato era ora protetto da exploit. Tuttavia, ha anche sospeso temporaneamente le attività di trading relative ai token condivisi su diverse altre piattaforme di swap, tra cui SushiSwap, ShibaSwap ed ETH PancakeSwap.

Con una mossa incoraggiante, Maestro si è assunta la responsabilità di rimborsare le parti interessate. Ha scelto di acquistare i token veri e propri per garantire un rimborso equo e completo, anziché limitarsi a trasferire ETH alle vittime. Questa decisione ha riguardato la maggior parte dei token interessati, a dimostrazione dell'impegno per una risoluzione equa.

Nonostante le tempestive azioni correttive, questodent evidenzia i rischi intrinseci dei bot di trading che richiedono agli utenti di cedere le proprie chiavi private. Tali pratiche contraddicono nettamente il motto della finanza decentralizzata: "non le tue chiavi, non le tue monete". Rappresentano un compromesso tra potenziali profitti e il rischio di esporre le proprie chiavi private, l'equivalente crittografico della consegna delle chiavi al proprio caveau.

Sebbene limitato al componente router e non comprometta ledentdel portafoglio, l'exploit ha suscitato un'ondata di cautela nella comunità crypto. È un duro promemoria delle vulnerabilità in agguato nei sistemi complessi e della costante vigilanza necessaria per salvaguardare le risorse digitali.