마에스트로 텔레그램 봇이 스마트trac의 결함을 이용해 280 ETH를 훔쳐 달아났습니다

최근 해커들이 마에스트로 텔레그램 거래 봇의 스마트trac취약점을 악용하여 약 50만 달러에 해당하는 280 Ethereum (ETH)을 탈취했습니다. 블록체인 보안 회사인 베오신(Beosin)은 트위터를 통해 이번 공격이 마에스트로 라우터 2 스마트trac의 외부 호출 결함을 이용한 것이라고 밝혔습니다. 공격자들은trac의 전송 기능을 조작하여 사용자들의 토큰을 자신들의 지갑으로 빼돌렸습니다.

더욱이, 이dent의 여파는 3,700만 개의 JOE 토큰이 유출되는 대규모 피싱 공격으로까지 이어졌습니다. 블록체인 분석 기관인 PeckShield가 전한 이 정보는 보안 침해의 심각성을 여실히 보여주었습니다. JOE 토큰 시장은 즉각적으로 반응하여 30% 이상 폭락했고, 유동성 부족으로 인해 Maestro가 사용자 보상에 필요한 JOE 토큰을 확보하지 못하면서 상황은 더욱 악화되었습니다.

하지만 이러한 혼란 속에서 해커들은 탈취한 이더리움을 암호화폐 거래 내역을 숨기는 데 효과적인 개인 정보 보호 도구인 레일건(Railgun)으로 옮겨 익명성을 한층 더 강화했습니다.

마에스트로 팀은 신속하게 대응하여 이러한 취약점으로부터 시스템을 보호하기 위한 시정 조치를 시작했습니다. 트위터를 통해 업데이트된 라우터는 이제 공격으로부터 안전하다고 사용자들에게 알렸습니다. 또한, Sushi스왑, Shib스왑, ETHcake스왑 등 여러 스왑 플랫폼에서 풀링된 토큰을 이용한 거래 활동을 일시적으로 중단했습니다.

고무적인 조치로, 마에스트로는 피해 당사자들에게 환불을 책임지기로 했습니다. 단순히 이더리움(ETH)을 피해자들에게 송금하는 대신, 공정하고 포괄적인 환불을 보장하기 위해 실제 토큰을 매입하기로 결정했습니다. 이 결정은 대부분의 피해 토큰을 포괄하며, 공정한 해결을 위한 노력을 보여줍니다.

신속한 시정 조치에도 불구하고, 이번dent 사용자가 개인 키를 제공해야 하는 거래 봇의 내재적 위험성을 여실히 보여줍니다. 이러한 행위는 "개인 키가 없으면 코인도 없다"는 탈중앙화 금융의 핵심 원칙에 정면으로 위배됩니다. 이는 잠재적 이익과 개인 키 노출의 위험, 즉 금고 열쇠를 넘겨주는 것과 같은 암호화 기술의 위험성 사이에서 선택을 강요하는 것입니다.

이번 취약점은 라우터 구성 요소에 국한되었고 지갑dent증명에는 영향을 미치지 않았지만, 암호화폐 커뮤니티 전반에 걸쳐 경각심을 불러일으켰습니다. 이는 복잡한 시스템 내에 숨어 있는 취약점과 디지털 자산을 보호하기 위해 필요한 끊임없는 경계심을 다시 한번 일깨워주는 계기가 되었습니다.