Gli hacker hanno rubato oltre 280 Ethereum (ETH) a causa di un exploit sullo smart contract del bot di trading Maestro di Telegram.
I bot di trading di Telegram automatizzano il trading e il farming sulla catena, ma alcuni portafogli richiedono agli utenti di condividere le loro chiavi private. Mentre i bot di trading di Telegram hanno guadagnato popolarità, molti membri della comunità hanno condiviso le loro preoccupazioni riguardo alle misure di sicurezza.
Il contratto Maestro Router 2 attaccato a causa di una vulnerabilità di chiamata esterna
L’azienda di sicurezza blockchain Beosin ha pubblicato su X (Twitter) che gli aggressori hanno rubato circa 280 ETH ( 500.000 dollari) a causa di una vulnerabilità di chiamata esterna nello smart contract Maestro Router 2. Beosin ha inoltre spiegato che:
“Gli aggressori possono passare un indirizzo di token, compilare la funzione chiamata come transferfrom, con parametri come l’indirizzo della vittima e il proprio indirizzo, in modo da poter trasferire i token della vittima al proprio indirizzo attraverso transferfrom”.
Inoltre, un’altra società di analisi della blockchain, PeckShield, ha informato gli utenti di X che un portafoglio di phishing ha rubato 37 milioni di token JOE a causa dell’exploit. Alla fine il prezzo di JOE è sceso di oltre il 30%. A causa della mancanza di liquidità, Maestro non può acquistare i token JOE e rimborsare gli utenti.
Per saperne di più: Chi è ZachXBT, lo spione delle criptovalute che smaschera le truffe?
L’attaccante Maestro ha trasferito i 280 ETH su Railgun, uno strumento di privacy per le criptovalute che nasconde i dettagli delle transazioni.
Poco dopo l’attacco, il team di Maestro è intervenuto prontamente e ha aggiornato di aver identificato l’exploit e di averlo affrontato. Il team ha scritto:
“Il nostro router è stato aggiornato a un’implementazione sicura e priva di exploit. Gli scambi possono riprendere normalmente, ma i token con gli insiemi su SushiSwap, ShibaSwap e ETH PancakeSwap saranno temporaneamente non disponibili”.
Infine, Maestro ha rimborsato tutti gli utenti colpiti acquistando i token e inviandoli al portafoglio della vittima. Maestro ha scritto su X:
Ogni portafoglio che ha perso token nell’exploit del router ha ora ricevuto l’intera quantità persa.
Alcuni di voi si sono ritrovati con sacchi ancora più grandi. Per 9 degli 11 token sfruttati, abbiamo scelto di acquistare e rimborsare i token invece di inviare semplicemente ETH perché è il rimborso più equo e completo che possiamo offrire per l’incidente.
Maestro ha guadagnato oltre 20 milioni di dollari nel 2023
Nel maggio 2023, BeInCrypto ha riportato che il bot di scambio Maestro ha guadagnato 5 milioni di dollari in commissioni mensili. Mentre maggio è stato il picco per la raccolta mensile, lo screenshot qui sotto mostra che nel 2023 ha raccolto oltre 20 milioni di dollari in commissioni.
In effetti, il bot per gli scambi su Telegram può aiutare i trader a guadagnare molto, ma al costo di rivelare le loro chiavi private al bot per firmare le transazioni. L’etica dell’ecosistema decentralizzato è “non le tue chiavi, non le tue monete”.
Per questo motivo, dare via le chiavi private potrebbe non essere l’idea migliore. In merito all’attacco a Maestro, un utente di X (Twitter) ha scritto:
“Il bot Maestro è appena stato SFRUTTATO 🚨 Non ho mai letto di fidarmi di tutti gli stupidi bot che spuntano a destra e a manca. State lontani da questi bot. Siate sicuri”.
Anche se dare via le chiavi private non è la pratica migliore, il team di Maestro ha chiarito che l’exploit ha preso di mira il router e le credenziali del portafoglio non sono state compromesse.
Per saperne di più: Unibot: Guida completa al bot di Telegram
Avete qualcosa da dire sull’attacco Maestro o su qualsiasi altra cosa? Scriveteci o partecipate alla discussione sul nostro canale Telegram. Potete trovarci anche su TikTok, Facebook o X (Twitter).
Per le ultime analisi di BeInCrypto sulBitcoin (BTC), cliccate qui.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
