近日,Telegram bot 赛道专案 Unibot 发生骇客攻击,损失 64 万美元资产,本文将介绍此次事件的攻击过程。本文原自 CertiK 分析团队所着《继Maestrobot後,Telegram Bot项目再遭恶意利用:Unibot攻击事件分析》,PANews整理、重新撰稿。
(前情提要:小心假招聘攻击!北韩骇客(拉撒路)新恶意病毒可躲避侦测 )
(背景补充:V神都中招的推特(X平台)盗帐号攻击,该如何防范? )
本文目录
北京时间 2023 年 10 月 31 日 12:39:23, Unibot 发生漏洞恶意利用,损失了 64 万美元的资产 。攻击者利用 Unibot 路由器合约中的 「arbitrary call」 漏洞,将价值 64 万美元的各种预先授权给路由合约的代币转移到自己名下。
让我们先来了解一下此次事件的漏洞分析和攻击过程。
漏洞分析
函式 0xb2bd16ab () 未正确检查输入引数,特别是 varg0 和 varg4,这两个引数被用於任意呼叫外部代币合约并执行‘transferFrom ()’方法。
攻击过程
攻击从北京时间 31 日 12:39:23 开始,持续到了 31 日的 14:09:47。在此期间,攻击者执行了 22 次攻击交易 ,呼叫了攻击合约上的 “0x5456a7bf ()” 方法,该方法反覆呼叫 Unibot 路由器合约中的 “0xb2bd16ab ()” 方法,将各种代币从受害者地址转移到自己的帐户。
总共有 42 种代币通过路由器从 364 个受害者地址转移到了攻击者手中,漏洞利用者随後出售了这些代币, 获得总计 355.5 ETH(约合 64 万美元)。
Unibot 团队稍後做出回应,部署了新的路由器合约。在其官方 X 帐号中他们还宣布了对所有受害者的赔偿计划。目前所有 355.5ETH 已被转入 Tornado.Cash。
Telegram 机器人
此次攻击与此前的 Maestrobot 事件非常相似 。10 月 25 日,CertiK Alert 即在 X 平台释出警告称,Telegram 机器人专案 Maestro Bots 路由器合约遭受攻击,导致损失约 50 万美元。
Telegram 机器人是 Web3.0 世界中的一个新兴领域,它让使用者能够通过 Telegram 介面进行各种 DeFi 操作,同时将代币整合其中。然而,如何区分真正的创新和令人迷惑的假象也变得越来越复杂。
CertiK 安全团队对 CoinGecko 的 Telegram 机器人代币列表中的 61 个专案进行了研究, 发现近 40% 的专案疑似处於休眠状态、可能存在欺诈现象 ,或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的,但许多都缺乏关键的技术细节,尤其是应用内钱包私钥管理的相关资讯。我们建议使用者在这些平台上操作需格外谨慎,尽量减少与其互动,并避免长期储存资产。
延伸阅读:Telegram Bot赛道为何能爆火?未来如何发展?
了解 Telegram 机器人及其代币
Telegram 机器人是通过 Telegram 聊天程式执行的自动化程式 。它们可以进行交易、向用户提供市场资料、评估社交媒体上的情绪,并通过 Telegram 介面发起的执行命令与智慧合约进行互动。这种型别的机器人已存在多年,但近年来它们随着 Telegram 机器人代币的出现而备受关注。
Telegram 机器人代币是整合到 Telegram 机器人中的原生代币,主要用於多样化的交易功能,如执行 DEX 交易、跨钱包管理投资组合、Yield Farming 以及其他与 DeFi 相关的可行操作。这些代币本质上允许使用者仅通过与 Telegram 介面的互动就能对接整个 DeFi。 如果这些程式能够长期保持安全和正常执行,可能会对 DeFi 的整体可访问性带来重大影响。
今年 7 月 20 日之後,这些代币的受欢迎程度急剧上升,一些代币的涨幅甚至超过了 1000%。这种趋势反应了 Web3.0 社群中常见的周期性狂热,其驱动力来自 X 平台(前 Twitter)上 Web3.0 货币社群的叙事共鸣。
尤其是 Unibot 崭露头角之後,又涌现出了大量 TBT。而截至 2023 年 8 月 3 日,CoinGecko 的机器人代币栏目已经列出了 61 个此类系统。
延伸阅读:JZ Invest专栏》Telegram Bot暴涨66倍又如何?热潮难以延续?
穿越叙事的交叉路口
TBT(Telegram 机器人代币)在 Web3.0 领域占据了独特的地位。在 X 平台(前 Twitter)上,Web3.0 货币爱好者经常把它们作为实用代币来讨论。此前,「实用」 一词在 Web3.0 货币领域一直与元叙事相关联,通常涉及人工智慧、金融科技、物流、跨境交易等专业行业的故事。TBT 最初是伴随着 「实用」 叙事而发展起来的,旨在通过创新的使用者介面来分散和完善交易活动。但是,TBT 其实已经超越了单一的实用元叙事,在各种 meme 和非 meme 叙事中找到了共鸣。
与此同时,随着 TBT 叙事的发展, 围绕迷你游戏 meme 代币的周期性炒作出现了 ,尤其是一个名为 「$HAMS」 的专案。$HAMS 是一个昙花一现的 meme 代币,允许使用者在仓鼠比赛直播中下注。然而,由於社群成员指控运营商重复使用仓鼠视讯片段,$HAMS 在推出後不久便夭折了。这催生了其他各种游戏纪念代币,也称其为 TBT。其中一种代币叫 「$TETRIS」,使用者可以在其中赌博并参与玩家之间的俄罗斯方块竞赛。某些游戏纪念代币之间的联络是通过在 X 平台上被广泛提及而形成的。
TBT 叙事交叉的另一个例子涉及 PAAL AI。虽然这不是一个专门的 meme,但该专案开发了一个类似 ChatGPT 的 Telegram 聊天机器人。代币和专案结构也与其他 TBT 结构类似。令人费解的是,该专案似乎并没有制作 Telegram 聊天机器人,而是提供了一个类似 ChatGPT 的网页介面。不过,该机器人还是可以通过 API 整合到使用者个人的 Telegram 频道中。
CoinGecko 的 TBT 分类
Unibot 释出後不久,CoinGecko 推出了其 TBT 详细列表。该列表最初於 7 月 20 日左右释出,包含约 30 种代币。在短短几周内,这一数位就激增到了 61。我们采用多种方法对这份名单进行了分析, 包括价格动量、流动性动态和交易活跃度等综合指标 ,并根据这些专案是否可能死亡或交易是否仍然活跃对其进行了分类。截至 8 月的具体分布情况如下方柱状图所示:
在这 61 个专案中,我们将 37 个归为活跃专案,24 个归为已死亡或可能已死亡专案。这些专案要麽跌幅超过 85%,其资金池只有极少甚至没有流动性,且没有任何活动,要麽很可能是退出骗局。也就是说,该类别中有近 40% 的专案已经死亡或不太可能恢复。
值得一提的是,注册 Telegram 机器人帐户时提供的钱包是自动生成的,而私钥是之後提供的。Unibot 未说明这些私钥的储存方式或位置是储存在本地还是伺服器後台。 这意味着,使用这些 Telegram 机器人进行交易和储存资金都是非常危险的。
未整合 Telegram 的专案
在研究过程中,我们发现一些被列为 TBT 的专案要麽没有将其代币整合到 Telegram 中,要麽没有 Telegram 交易机器人,而只有普通的 Telegram 社群频道。一些专案拥有与 Unibot 相同功能的外部 DApp,另一些专案的路线图表示 Telegram 整合将在未来实现。
其他专案则不具备这些功能,但它们出现在这份名单上或许表明了我们前面提到的交叉叙事。 这些专案可能在向 CoinGecko 提交申请时,自我标榜为 TBT 型别的专案 ,并表明了整合或将在未来整合的目标。我们看到了叙事炒作如何扩大特定类别代币的情况,有些代币甚至以被 「meme」 的方式存在,即使该专案实际上与其被分配的类别毫无关系。据我们分析,这类叙事炒作的影响非常巨大,足以部分解释以上这种分歧现象。
写在最後
每当有新的叙事在数位货币社群流行起来时,会有大量类似专案继续以同样的叙事进行释出,其中许多要麽是退出骗局,要麽企图窃取投资者的资产,TBT 在这方面也不例外。
TBT 的开发可能是 DeFi 社群的一项独特创新 。尽管这类代币的效用尚不明确,但类似平台的出现,为投资者提供了将资料汇总到交易策略中的新方法。 然而,使用者应该对这些平台格外谨慎。
在 TBT 领域,专案都是通过 meme 的方式存在,其价值可能在一夜之间消失殆尽,这就要求我们保持谨慎和知情的参与态度。很多专案不能向用户提供清晰的文件,无法说明其钱包金钥的储存位置和生成方式,因此存在巨大的未知风险。
使用者应不考虑使用这些平台进行储存 。在将外部钱包连结到这些平台,或与这些专案生成的网站进行互动时,使用者也应谨慎行事。
📍相关报导📍
电影是真的》Coinbase自曝骇客如何通过「社交工程」渗透攻击?
加密侦探ZachXBT最新调查:「SIM卡交换攻击」细节
怕AI毁灭人类!OpenAI成立「算力防卫队」,预防核爆、生化攻击、AI自我复制等灾难