В результате взлома Telegram-бота Maestro было украдено 280 ETH через уязвимость смарт-trac

Недавно хакеры воспользовались уязвимостью смарт-tracв торговом боте Maestro в Telegram, что привело к краже 280 Ethereum (ETH), что примерно эквивалентно 500 000 долларов США. Атака выявила уязвимость внешнего вызова в смарт-tracMaestro Router 2, как подробно описала в Twitter компания Beosin, занимающаяся безопасностью блокчейна. Злоумышленники манипулировали функцией перевода средств вtrac, фактически перенаправляя токены пользователей на их кошельки.

Кроме того, последствияdentпривели к масштабной фишинговой атаке, в результате которой были скомпрометированы 37 миллионов токенов JOE. Информация, предоставленная компанией PeckShield, специализирующейся на блокчейн-аналитике, подчеркнула серьезность нарушения безопасности. Рынок токенов JOE отреагировал незамедлительно, упав более чем на 30%, что усугубило ситуацию из-за неспособности Maestro приобрести токены JOE для возмещения средств пользователям в связи с ограничениями ликвидности.

Однако в разгар хаоса хакеры решили обеспечить себе дополнительную анонимность, переведя украденные ETH в Railgun, инструмент обеспечения конфиденциальности в сфере криптовалют, известный своей способностью скрывать детали транзакций.

Команда Maestro оперативно отреагировала, приняв меры по устранению уязвимостей и укрепив свои системы. В Twitter они заверили пользователей, что обновленный маршрутизатор теперь защищен от эксплойтов. Однако они также временно приостановили торговлю токенами, объединенными на нескольких других платформах обмена, включая SushiSwap, ShibaSwap и ETH PancakeSwap.

В качестве обнадеживающего шага компания Maestro взяла на себя ответственность за возмещение средств пострадавшим сторонам. Они решили выкупить сами токены, чтобы обеспечить справедливое и всестороннее возмещение, вместо того чтобы просто переводить ETH жертвам. Это решение охватило большую часть пострадавших токенов, что свидетельствует о приверженности справедливому урегулированию.

Несмотря на оперативные меры по устранению проблемы, этотdent подчеркивает присущие торговым ботам риски, требующие от пользователей отказа от своих приватных ключей. Такая практика резко противоречит принципу децентрализованных финансов: «не ваши ключи — не ваши монеты». Это означает компромисс между потенциальной прибылью и опасностью раскрытия своих приватных ключей, что в криптографическом плане равносильно передаче ключей от своего хранилища.

Хотя уязвимость затронула только компонент маршрутизатора и не поставила под угрозуdentкошелька, она вызвала волну осторожности в криптосообществе. Это яркое напоминание о скрытых уязвимостях в сложных системах и о необходимости постоянной бдительности для защиты цифровых активов.