Твитнуть
Копитрейдинговый Телеграм-бот Maestro подвергся хакерской атаке, в результате которой злоумышленники украли 280 ETH ($500 тыс.). Команда проекта уже возместила все средства пользователям
Один из крупнейших Телеграм-ботов Maestro стал жертвой хакерской атаки. В результате взлома злоумышленники похитили 280 ETH (около $500 тыс.) со счетов пользователей. Команда проекта написала в «Твиттере», что покрыла все потери.
«Каждый кошелек, потерявший токены в результате эксплойта маршрутизатора, получил всю потерянную сумму. Некоторые пользователи получили даже больше», — отметили разработчики.
Как все произошло
Хакеры воспользовались уязвимостью в контракте маршрутизатора, предназначенного для управления обменом токенов. Он работает на базе прокси, который позволяет изменять логику контракта без изменения его адреса.
Злоумышленники ввели в Router2 адрес токена, инициировали функцию «transferFrom», указали в качестве отправителя адрес жертвы, а получателя — свой собственный. По данным PeckShield, они перевели украденные средства на кроссчейн-платформу Railgun, пытаясь скрыть источник происхождения активов
Однако у многих сомнения вызывает вопрос конфиденциальности данных. При любых вариантах использования они автоматически раскрываются боту. Это значит, что при желании разработчики смогут в любой момент изменить код бота и взимать в виде комиссии до 100% от баланса на кошельках, которые подключены к боту.
Один из крупнейших Телеграм-ботов Maestro стал жертвой хакерской атаки. В результате взлома злоумышленники похитили 280 ETH (около $500 тыс.) со счетов пользователей. Команда проекта написала в «Твиттере», что покрыла все потери.
«Каждый кошелек, потерявший токены в результате эксплойта маршрутизатора, получил всю потерянную сумму. Некоторые пользователи получили даже больше», — отметили разработчики.
Как все произошло
Хакеры воспользовались уязвимостью в контракте маршрутизатора, предназначенного для управления обменом токенов. Он работает на базе прокси, который позволяет изменять логику контракта без изменения его адреса.
Злоумышленники ввели в Router2 адрес токена, инициировали функцию «transferFrom», указали в качестве отправителя адрес жертвы, а получателя — свой собственный. По данным PeckShield, они перевели украденные средства на кроссчейн-платформу Railgun, пытаясь скрыть источник происхождения активов
Однако у многих сомнения вызывает вопрос конфиденциальности данных. При любых вариантах использования они автоматически раскрываются боту. Это значит, что при желании разработчики смогут в любой момент изменить код бота и взимать в виде комиссии до 100% от баланса на кошельках, которые подключены к боту.
Комментарий