【速報】TelegramボットプロジェクトMaestroがセキュリティ侵害を受ける

プロジェクトはRouter2契約の重大なセキュリティ脆弱性により被害を受け、ユーザーアカウントから280ETH（約500,000ドル）以上が不正に送金された。

Maestroは問題に対処し、一部のDEXにおける流動性プール内のトークンへのアクセスが一時的に利用できなくなることが発表された。

Router2契約はトークンスワップのロジックを管理するためのもので、任意の呼び出しが可能な脆弱性が存在し、不正な資産の送金が可能となった。

セキュリティ企業PeckShieldによると、資金はクロスチェーン取引所Railgunに移され、その出どころを混乱させるための可能な試みだとされている。

問題の核心は、Router2契約がプロキシ設計を採用していたことであり、アドレスを変更せずに契約のロジックを変更することができる機能があった。これは通常、アップグレードのためのものだが、不正な呼び出しも可能となった。

具体的には、攻撃者はトークンのアドレスをRouter2契約に入力し、「transferFrom」関数を設定し、被害者のアドレスを送信元、自身のアドレスを受信者として設定することができた。これにより被害者のアカウントから攻撃者のアカウントに不正なトークン送金が行われた。

即時の対応：Maestroがルーター操作を凍結

侵害の発見から約30分後、Maestroは迅速に対応し、Router2契約のロジックを無害なCounter契約に置き換え、すべてのルーター操作を停止し、さらなる不正送金を防いだ。 Maestroは問題が解決されたことを確認した。しかし、SushiSwap、ShibaSwap、ETH PancakeSwapのプール内のトークンは内部調査が続く間、一時的に利用できない状態になる。 チームは被害を受けたユーザーに払い戻しを行う予定と明らかにし、「払い戻しの処理が完了次第、コミュニティにお知らせします（おそらく今日中に）」と述べた。