Telegram-бот Maestro постраждав від злому контракту: викрадено $500 000 ETH

Telegram-бот Maestro, один з найбільших проєктів у екосистемі, постраждав від злому контракту. Зловмисники скористалися вразливістю в контракті Router2, щоб викрасти понад 280 ETH ($500 000).

Контракт Router2 призначений для управління логікою обміну токенів. Вразливість дозволяла зловмисникам здійснювати довільні запити, що призвело до несанкціонованого переказу активів.

Суть проблеми полягала в тому, що контракт Router2 мав проксі-дизайн, який дозволяв змінювати логіку контракту без зміни його адреси, що, як правило, є функцією для модернізації. Однак це також дозволяло здійснювати довільні та несанкціоновані запити, що давало змогу зловмисникам ініціювати операції «transferFrom» між будь-якими дозволеними адресами.

За даними компанії PeckShield, кошти були переведені на обмінну платформу Railgun.

Maestro швидко відреагував на злом і замінив логіку контракту Router2 на безпечну. Однак доступ до токенів в пулах ліквідності на деяких DEX залишиться тимчасово недоступним, оскільки компанія продовжує внутрішню перевірку.

Команда Maestro заявила, що поверне кошти постраждалим користувачам.

Нещодавно DeFi-проєкт Platypus Finance зазнав другого злому за рік.