Bot no Telegram enfrenta violação de segurança e registra perda de US$ 500 mil

Projeto enfrenta vulnerabilidade crítica, transferência não autorizada de fundos e toma medidas imediatas para conter problema

No universo do Telegram, o Maestro é um dos projetos de bot mais destacados, com uma base de usuários fiel e uma presença substancial no ecossistema. Contudo, recentemente, o robô enfrentou revés após uma violação de segurança que afetou seus usuários e seus ativos.

Vulnerabilidade crítica exposta

A vulnerabilidade crítica de segurança foi descoberta no contrato Router2 do Maestro, essencial para a funcionalidade do projeto. Isso permitiu a transferência não autorizada de mais de 280 Ethereum (ETH), equivalente a cerca de US$ 500 mil, a partir das contas dos usuários. A descoberta dessa vulnerabilidade lançou uma sombra sobre a segurança do projeto.

Ação imediata do Maestro

O Maestro agiu com prontidão ao identificar o problema. O acesso a tokens em pools de liquidez em determinados DEXs foi temporariamente interrompido para conter o impacto. A empresa de segurança PeckShield foi instrumental na identificação e no acompanhamento desta violação, revelando que os fundos desviados foram transferidos para a plataforma de troca cross-chain Railgun, em uma possível tentativa de obscurecer a origem do ataque.

Raiz do problema

A vulnerabilidade estava no design do contrato Router2, que incorporava um recurso de proxy destinado a possibilitar atualizações. No entanto, esse design também permitiu a realização de chamadas arbitrárias não autorizadas, o que, por sua vez, possibilitou que os invasores iniciassem operações de "transferFrom" entre quaisquer endereços aprovados. Isso revela uma brecha de segurança crítica no projeto.

Medidas corretivas rápidas

Em resposta à descoberta da vulnerabilidade, o Maestro agiu rapidamente, substituindo a lógica do contrato Router2 por um contrato benigno do Counter. Essa ação congelou todas as operações do roteador e restringiu qualquer transferência não autorizada adicional.

Foco na segurança

O Maestro confirmou que a vulnerabilidade foi resolvida, no entanto, os tokens em pools de Bone ShibaSwap (BONE), PancakeSwap (CAKE) e SushiSwap (SUSHI) permanecerão temporariamente indisponíveis.

"Nosso roteador foi atualizado para uma implementação segura e livre de explorações. A negociação pode ser retomada normalmente, mas os tokens com pools no SushiSwap, ShibaSwap e PancakeSwap estarão temporariamente indisponíveis", disse o Maestro no X (ex-Twitter).