Telegram Bot 项目再遭恶意利用:Unibot 攻击事件分析

IP归属:美国

北京时间2023年10月31日12:39:23,Unibot发生漏洞恶意利用,损失了64万美元的资产。攻击者利用Unibot路由器合约中的“arbitrary call”漏洞,将价值64万美元的各种预先授权给路由合约的代币转移到自己名下。

让我们先来了解一下此次事件的漏洞分析和攻击过程。

漏洞分析

函数0xb2bd16ab()未正确检查输入参数,特别是varg0和varg4,这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。

攻击过程

攻击从北京时间31日12:39:23开始,持续到了31日的14:09:47。在此期间,攻击者执行了22次攻击交易,调用了攻击合约上的"0x5456a7bf()"方法,该方法反复调用Unibot路由器合约中的"0xb2bd16ab()"方法,将各种代币从受害者地址转移到自己的账户。

总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中,漏洞利用者随后出售了这些代币,获得总计355.5 ETH(约合64万美元)

Unibot团队稍后做出回应,部署了新的路由器合约。在其官方X账号中他们还宣布了对所有受害者的赔偿计划。目前所有355.5ETH已被转入Tornado.Cash。

Telegram机器人

此次攻击与此前的Maestrobot事件非常相似。10月25日,CertiK Alert即在X平台发布警告称,Telegram 机器人项目Maestro Bots路由器合约遭受攻击,导致损失约50万美元。

Telegram机器人是Web3.0世界中的一个新兴领域,它让用户能够通过Telegram界面进行各种DeFi操作,同时将代币整合其中。然而,如何区分真正的创新和令人迷惑的假象也变得越来越复杂。

CertiK安全团队对CoinGecko的Telegram机器人代币列表中的61个项目进行了研究,发现近40%的项目疑似处于休眠状态、可能存在欺诈现象,或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的,但许多都缺乏关键的技术细节,尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎,尽量减少与其交互,并避免长期储存资产。

了解Telegram机器人及其代币

Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪,并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年,但近年来它们随着Telegram机器人代币的出现而备受关注。

Telegram机器人代币是集成到Telegram机器人中的原生代币,主要用于多样化的交易功能,如执行DEX交易、跨钱包管理投资组合、Yield Farming以及其他与DeFi相关的可行操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。如果这些程序能够长期保持安全和正常运行,可能会对DeFi的整体可访问性带来重大影响。

今年7月20日之后,这些代币的受欢迎程度急剧上升,一些代币的涨幅甚至超过了1000%。这种趋势反映了Web3.0社区中常见的周期性狂热,其驱动力来自X平台(前Twitter)上Web3.0货币社区的叙事共鸣。

尤其是Unibot崭露头角之后,又涌现出了大量TBT。而截至2023年8月3日,CoinGecko的机器人代币栏目已经列出了61个此类系统。

穿越叙事的交叉路口

TBT(Telegram机器人代币)在Web3.0领域占据了独特的地位。在X平台(前Twitter)上,Web3.0货币爱好者经常把它们作为实用代币来讨论。此前,“实用”一词在Web3.0货币领域一直与元叙事相关联,通常涉及人工智能、金融科技、物流、跨境交易等专业行业的故事。TBT最初是伴随着“实用”叙事而发展起来的,旨在通过创新的用户界面来分散和完善交易活动。但是,TBT其实已经超越了单一的实用元叙事,在各种meme和非meme叙事中找到了共鸣。

与此同时,随着TBT叙事的发展,围绕迷你游戏meme代币的周期性炒作出现了,尤其是一个名为“$HAMS”的项目。$HAMS是一个昙花一现的meme代币,允许用户在仓鼠比赛直播中下注。然而,由于社区成员指控运营商重复使用仓鼠视频片段,$HAMS在推出后不久便夭折了。这催生了其他各种游戏纪念代币,也称其为TBT。其中一种代币叫“$TETRIS”,用户可以在其中赌博并参与玩家之间的俄罗斯方块竞赛。某些游戏纪念代币之间的联系是通过在X平台上被广泛提及而形成的。

TBT叙事交叉的另一个例子涉及PAAL AI。虽然这不是一个专门的meme,但该项目开发了一个类似ChatGPT的Telegram聊天机器人。代币和项目结构也与其他TBT结构类似。令人费解的是,该项目似乎并没有制作Telegram聊天机器人,而是提供了一个类似ChatGPT的网页界面。不过,该机器人还是可以通过API集成到用户个人的Telegram频道中。

CoinGecko的TBT分类

Unibot发布后不久,CoinGecko推出了其TBT详细列表。该列表最初于7月20日左右发布,包含约30种代币。在短短几周内,这一数字就激增到了61。我们采用多种方法对这份名单进行了分析,包括价格动量、流动性动态和交易活跃度等综合指标,并根据这些项目是否可能死亡或交易是否仍然活跃对其进行了分类。截至8月的具体分布情况如下方柱状图所示:

在这61个项目中,我们将37个归为活跃项目,24个归为已死亡或可能已死亡项目。这些项目要么跌幅超过85%,其资金池只有极少甚至没有流动性,且没有任何活动,要么很可能是退出骗局。也就是说,该类别中有近40%的项目已经死亡或不太可能恢复。

值得一提的是,注册Telegram机器人账户时提供的钱包是自动生成的,而私钥是之后提供的。Unibot未说明这些私钥的存储方式或位置是存储在本地还是服务器后台。这意味着,使用这些Telegram机器人进行交易和存储资金都是非常危险的。

未整合Telegram的项目

在研究过程中,我们发现一些被列为TBT的项目要么没有将其代币整合到Telegram中,要么没有Telegram交易机器人,而只有普通的Telegram社区频道。一些项目拥有与Unibot相同功能的外部DApp,另一些项目的路线图表示Telegram整合将在未来实现。

其他项目则不具备这些功能,但它们出现在这份名单上或许表明了我们前面提到的交叉叙事。这些项目可能在向CoinGecko提交申请时,自我标榜为TBT类型的项目,并表明了整合或将在未来整合的目标。我们看到了叙事炒作如何扩大特定类别代币的情况,有些代币甚至以被“meme”的方式存在,即使该项目实际上与其被分配的类别毫无关系。据我们分析,这类叙事炒作的影响非常巨大,足以部分解释以上这种分歧现象。

写在最后

每当有新的叙事在数字货币社区流行起来时,会有大量类似项目继续以同样的叙事进行发布,其中许多要么是退出骗局,要么企图窃取投资者的资产,TBT在这方面也不例外。

TBT的开发可能是DeFi社区的一项独特创新。尽管这类代币的效用尚不明确,但类似平台的出现,为投资者提供了将数据汇总到交易策略中的新方法。然而,用户应该对这些平台格外谨慎。

在TBT领域,项目都是通过meme的方式存在,其价值可能在一夜之间消失殆尽,这就要求我们保持谨慎和知情的参与态度。很多项目不能向用户提供清晰的文档,无法说明其钱包密钥的存储位置和生成方式,因此存在巨大的未知风险。

用户应不考虑使用这些平台进行存储。在将外部钱包链接到这些平台,或与这些项目生成的网站进行交互时,用户也应谨慎行事。

本文来源:陀螺科技 文章作者:CertiK
收藏
举报
CertiK
累计发布内容96篇 累计总热度10万+

陀螺科技现已开放专栏入驻,详情请见入驻指南: https://www.tuoluo.cn/article/detail-27547.html

CertiK专栏: https://www.tuoluo.cn/columns/author1430739/

本文网址: https://www.tuoluo.cn/article/detail-10110116.html

免责声明:
1、本文版权归原作者所有,仅代表作者本人观点,不代表陀螺科技观点或立场。
2、如发现文章、图片等侵权行为,侵权责任将由作者本人承担。

相关文章