本日、エコシステム内で最大のTelegramボットプロジェクトの一つであるMaestroが深刻なセキュリティ侵害に直面しました。そのRouter2契約に重大なセキュリティ脆弱性が存在し、結果としてユーザーアカウントから280ETH以上($500,000)が不正に転送されました。
Router2契約の脆弱性
Router2契約は、トークンスワップのロジックを管理するために設計されていましたが、攻撃者が任意の呼び出しを行う脆弱性が含まれていました。これにより、資産の不正な転送が可能となりました。
攻撃の詳細
Router2契約は、そのアドレスを変更せずに契約ロジックを変更できるプロキシ設計を持っていました。これは通常、アップグレード可能性の特徴ですが、これにより攻撃者が任意の呼び出しを行い、”transferFrom”操作を任意の承認済みアドレス間で開始することが可能となりました。
Maestroの対応
侵害の初期発見から約30分後、Maestroは迅速に行動し、Router2契約のロジックを無害なCounter契約に置き換え、すべてのルータ操作を凍結し、さらなる不正な転送を防ぎました。
結論
Maestroは脆弱性が解決されたことを確認しました。ただし、内部レビューが続く間、SushiSwap、ShibaSwap、およびETH PancakeSwapプールのトークンは一時的に利用できなくなります。チームは、影響を受けたユーザーに対する払い戻しを行うと付け加えました。
引用元
Comments