据52telegram.com消息,黑客利用该账户的代理设计进行升级,侵入 Telegram 的 Maestro 机器人账户并窃取价值 50 万美元的以太币(加密货币:ETH)。
发生了什么?
Maestro 是生态系统中最大的 Telegram 机器人项目之一,其 Router2 合约出现重大安全漏洞,导致用户账户未经授权转移超过 280 ETH(50 万美元)。安全公司 PeckShield 在Twitter上指出,这 280 个 ETH 被转移到跨链交易平台 Railgun,以在追踪其来源时造成模糊性。
据 The Block报道,该合约主要用于管理代币交换的逻辑,很容易受到攻击者的任意调用,从而导致未经授权的资产转移。
尽管该问题已得到解决,但某些去中心化交易所的流动性池中的代币访问仍将暂时无法访问。随着公司继续进行内部审查,SushiSwap、ShibaSwap 和 ETH PancakeSwap 池中的代币将暂时不可用。
该团队在X上补充道,“一旦我们准备好处理退款(希望在一天之内),我们就会向社区更新。”
在发现漏洞后 30 分钟内,Maestro 迅速用良性的 Counter 合约替换了 Router2 合约的逻辑,从而冻结了所有路由器操作并阻止任何进一步的未经授权的传输。
为了防止此类盗窃并维护数字资产的安全,请在即将举行的Benzinga数字资产未来大会上与 Webacy 首席执行官 Maika Isokawa 会面。在您的日历上标记 11 月 14 日,这是金融科技行业不容错过的聚会!
它是怎么发生的?
据 The Block 报道,Router2 合约采用代理设计,允许在不改变其地址的情况下更改合约逻辑,主要是为了可升级性。然而,该设计无法保护合约免受任意和未经授权的调用,从而导致攻击者在任何批准的地址之间发起“transferFrom”操作。
他们可以在 Router2 合约中启动一个代币地址,将函数设置为“transferFrom”,并将受害者的地址列为发送者,将他们自己的地址列为接收者,以进行未经授权的传输。
其他黑客
在最近发生的黑客事件中,以太坊联合创始人Vitalik Buterin 的 X 账户遭到入侵,黑客通过指向欺骗性链接的用户成功窃取了 69 万美元。此外,CoinEx 在 9 月初遭遇了价值 2700 万美元的黑客攻击,此次黑客攻击是朝鲜 Lazarus 集团所为。
此外,达拉斯小牛队老板、亿万富翁马克·库班也面临加密货币诈骗,导致损失近 87 万美元。