Vào ngày 24 tháng 10, một vi phạm bảo mật trong Maestro, một bot giao dịch tiền điện tử nổi tiếng, đã dẫn đến mất khoảng 280 ETH, trị giá khoảng 500.000 USD. Kẻ tấn công đã khai thác lỗ hổng trong hợp đồng bộ định tuyến được triển khai gần đây, được thiết kế để tạo điều kiện thuận lợi cho việc giao dịch nhiều loại memecoin khác nhau. Dự án đã công bố việc khai thác trên nền tảng truyền thông xã hội X thông qua một tweet.
We regret to inform our users that the Maestro Router was compromised tonight. We have swiftly taken action and revoked all the router’s functionalities.
For those who were affected, full refunds will be issued out. For those who were not affected, your tokens are fully safe…
— Maestro🤖🤖 (@MaestroBots) October 25, 2023
Kẻ tấn công đã chuyển được token sang ví của chính chúng , đặc biệt là những token đã nhận được sự chấp thuận trước đối với hợp đồng bị xâm phạm. Sau khi bảo vệ các token, kẻ tấn công đã chuyển đổi chúng thành ether và sử dụng bộ trộn RailGun để che giấu hoạt động của chúng.
Nhóm Maestro đã hành động nhanh chóng để giảm thiểu thiệt hại. Họ “đã thu hồi tất cả các chức năng của bộ định tuyến”, đảm bảo rằng giao dịch có thể được tiếp tục một cách an toàn. Người dùng bị ảnh hưởng được hứa hoàn lại tiền đầy đủ, trong khi những người không bị ảnh hưởng được đảm bảo rằng mã thông báo của họ vẫn an toàn.
Dự án cũng cam kết hoàn lại toàn bộ số tiền cho những người bị ảnh hưởng, ước tính sẽ cần khoảng 280 ETH cho mục đích này. Họ cũng làm rõ rằng việc khai thác chỉ giới hạn ở bộ định tuyến và không ảnh hưởng đến ví của người dùng.
Hợp đồng Router 2 bị xâm phạm hoạt động theo cách tương tự như proxy giống ERC1967. Nó đã ủy quyền hoạt động của mình cho một địa chỉ khác, địa chỉ này chịu trách nhiệm quản lý logic liên quan đến hoán đổi và khuyến khích các nhà xây dựng khối. Lỗ hổng nằm ở một chức năng bị lộ trên bộ định tuyến mà khi được kích hoạt sẽ trì hoãn việc triển khai được chỉ định. Lỗ hổng này cho phép kẻ tấn công sử dụng phương thức ‘transferFrom’ để nhắm mục tiêu chủ sở hữu token, tích lũy token và cuối cùng chuyển đổi chúng thành ETH.
Theo nhóm, sau khi xác định được cách khai thác, Maestro đã cập nhật bộ định tuyến của họ lên chế độ “triển khai an toàn, không bị khai thác”. Mặc dù giao dịch đã được tiếp tục nhưng các token liên quan đến nhóm thanh khoản trên các nền tảng như SushiSwap, ShibaSwap và việc triển khai Ethereum của PancakeSwap vẫn tạm thời không khả dụng.
Sự cố Maestro không phải là một sự kiện biệt lập trong bối cảnh tiền điện tử. Mới tháng trước, HTX Global, một công ty quan trọng khác trong lĩnh vực tiền kỹ thuật số, cũng trở thành nạn nhân của một cuộc tấn công mạng. Vụ vi phạm xảy ra vào ngày 24 tháng 9 năm 2023, đã dẫn đến tổn thất đáng kinh ngạc là 5.000 ETH, tương đương khoảng 8 triệu USD.