Телеграм-бот Maestro подвергся хакерской атаке

Вчера 24 октября в смарт-контракте торгового Telegram-бота Maestro была обнаружена уязвимость, которой воспользовались неизвестные. В общей сложности ему удалось похитить 280 ETH.

Злоумышленники использовали слабое место в контракте маршрутизатора, предназначенного для управления обменом токенов. Этот контракт базируется на прокси, что позволяет изменять логику контракта без  изменения его адреса.

Эксплойт был нацелен не на счета клиентов, а на специальный маршрутизатор, связанный с Maestro. Хакеры  ввели в маршрутизатор адрес токена, инициировали функцию «transferFrom», указали в качестве отправителя адрес жертвы, а получателя — свой собственный.

По данным PeckShield, они перевели украденные средства на кроссчейн-платформу Railgun, пытаясь скрыть источник происхождения активов.  Согласно сведениям CertiK, атака на смарт-контракт сервиса затронула в общей мере более 100 адресов. Стоит отметить, что MaestroBots — это специализированный Telegram-бот, который позволяет клиентам проводить транзакции в сетях ERC-20 и BEP-20. Комиссия в сервисе фиксированная и установлена на отметке 1%.

Приблизительно через полчаса после обнаружения уязвимости, команда разработчиков Maestro временно остановила функционирование маршрутизатора. Все операции и неправомерные транзакции были приостановлены. Через пару часов команда проекта вернула пользователям в общей сложности 610 ETH (примерно $1 млн) из своих резервов.