Kripto ekosistemindeki en büyük Telegram bot projelerinden biri olan Maestro, bugün erken saatlerde kritik bir güvenlik ihlalinin kurbanı oldu ve bunun sonucunda kullanıcı hesaplarından 500.000 dolar tutarındaki 280'den fazla ETH izinsiz transfer edildi. İhlal, Router2 sözleşmesinde keşfedilen ve projeyi kargaşa içinde bırakan kritik bir güvenlik açığından kaynaklandı.

Sonuç olarak Maestro, sorunu çözmek için adımlar attı. Ancak belirli merkezi olmayan borsalardaki (DEX'ler) likidite havuzlarındaki tokenlara erişimde geçici bir kesinti yaşanacak. Router2 Sözleşme Kusuru Kullanıldı

Token takaslarının ardındaki mantığı yönetmek için tasarlanmış önemli bir bileşen olan Router2 sözleşmesi, kötü niyetli aktörlerin keyfi çağrılar yürütmesine olanak tanıyan ve varlıkların yasa dışı transferine yol açan bir güvenlik açığı barındırıyordu.

Güvenlik firması PeckShield, çalınan fonların zincirler arası değişim platformu Railgun'a ulaştığını ve bunun muhtemelen kökenlerini gizlemeye yönelik bir girişim olduğunu tespit etti. Bu gece Maestro Router'ın tehlikeye girdiğini kullanıcılarımıza bildirmekten üzüntü duyuyoruz. Hızla harekete geçtik ve yönlendiricinin tüm işlevlerini iptal ettik.

Etkilenenlere tam geri ödeme yapılacaktır. Etkilenmeyenler için jetonlarınız tamamen güvende…

— Maestro'ya; (@MaestroBots) 25 Ekim 2023

Sorun, Router2 sözleşmesinin, adres değişikliği gerektirmeden sözleşmenin mantığındaki değişiklikleri kolaylaştıran bir proxy mekanizması kullanan benzersiz tasarımında yatmaktadır.

Bu özelliğin yükseltilebilirliğe izin vermesi amaçlanmış olsa da, yanlışlıkla yetkisiz aramalar için bir ağ geçidi açmıştır. Saldırganlar, onaylanmış herhangi bir adres arasında "transferFrom" işlemlerini başlatmak için bu güvenlik açığından yararlandı.

Saldırganlar basit ama güçlü bir teknikten yararlandılar. Router2 sözleşmesine bir token adresi girerek, gönderenin ayrıntılarını kurbanın adresini yansıtacak şekilde manipüle ederek ve tokenları hesaplarına yönlendirerek işlevi "transferFrom" olarak ayarlıyorlar. Bu iğrenç taktik, tokenların kurbanların hesaplarından saldırganların kontrolü altındaki kişilere yetkisiz olarak aktarılmasına yol açtı. Maestro Para İadelerini Derhal Yapmayı Umuyor

Övgüye değer bir hızla karşılık veren Maestro hemen harekete geçti. İhlalin keşfedilmesinden sonraki 30 dakika içinde ekip, ele geçirilen Router2 sözleşmesinin mantığını zararsız bir Counter sözleşmesiyle değiştirdi. Bu taktiksel hareket, tüm yönlendirici işlemlerini etkili bir şekilde dondurarak daha fazla yetkisiz aktarımın önlenmesini sağladı.

Maestro'nun özenli çabaları güvenlik açığını başarıyla çözse de, SushiSwap, ShibaSwap ve ETH PancakeSwap dahil olmak üzere önde gelen merkezi olmayan borsalardaki likidite havuzlarında barındırılan tokenler, şirket kapsamlı bir dahili inceleme yürüttüğü için geçici olarak erişilemez durumda kalacak.

Etkilenen kullanıcılara güvence veren Maestro ekibi, umarım gün içinde geri ödeme yapma kararlılığını açıkladı.

Olay, kripto yatırımcıları arasında Telegram entegre botların popülaritesinin artmasıyla birlikte ortaya çıktı. Kullanışlılıklarına ve kullanım kolaylıklarına rağmen uzmanlar, bu botların kullanıcı varlıklarını yönetirken uyguladığı güvenlik önlemleriyle ilgili endişelerini dile getiriyor. ÖZEL TEKLİF (Sponsorlu) Binance Ücretsiz 100$ (Özel): Kayıt olmak ve Binance Vadeli İşlemlerin ilk ayında (şartlar) 100$ ücretsiz ve %10 indirimli ücretler almak için bu bağlantıyı kullanın.

PrimeXBT Özel Teklifi: Kaydolmak ve CYPTOPOTATO50 kodunu girerek 7.000$'a kadar para yatırma işleminizi almak için bu bağlantıyı kullanın.

Şunları da beğenebilirsiniz: Balancer'ın Ön Uç Saldırısının Ardından 240 Bin Dolardan Fazla Kaybettiği Bildirildi Dengeleyici, Ön Uç Hack'inin Sosyal Mühendislik Saldırısından Kaynaklandığını Söyledi Dengeleyici Güvenlik Açığı Açıklandıktan Sonra Neredeyse 1 Milyon Dolar Gün Boyunca Boşaltıldı Etiketler: Hacking Telegram