Telegram Bot 项目再遭恶意利用:Unibot 攻击事件分析
北京时间2023年10月31日12:39:23,Unibot发生漏洞恶意利用,损失了64万美元的资产。攻击者利用Unibot路由器合约中的“arbitrary call”漏洞,将价值64万美元的各种预先授权给路由合约的代币转移到自己名下。
让我们先来了解一下此次事件的漏洞分析和攻击过程。
漏洞分析函数0xb2bd16ab()未正确检查输入参数,特别是varg0和varg4,这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。
攻击过程攻击从北京时间31日12:39:23开始,持续到了31日的14:09:47。在此期间,攻击者执行了22次攻击交易,调用了攻击合约上的"0x5456a7bf()"方法,该方法反复调用Unibot路由器合约中的"0xb2bd16ab()"方法,将各种代币从受害者地址转移到自己的账户。
总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中,漏洞利用者随后出售了这些代币,获得总计355.5 ETH(约合64万美元)。
Unibot团队稍后做出回应,部署了新的路由器合约。在其官方X账号中他们还宣布了对所有受害者的赔偿计划。目前所有355.5ETH已被转入Tornado.Cash。
Telegram机器人此次攻击与此前的Maestrobot事件非常相似。10月25日,CertiK Alert即在X平台发布警告称,Telegram 机器人项目Maestro Bots路由器合约遭受攻击,导致损失约50万美元。
Telegram机器人是Web3.0世界中的一个新兴领域,它让用户能够通过Telegram界面进行各种DeFi操作,同时将代币整合其中。然而,如何区分真正的创新和令人迷惑的假象也变得越来越复杂。
CertiK安全团队对CoinGecko的Telegram机器人代币列表中的61个项目进行了研究,发现近40%的项目疑似处于休眠状态、可能存在欺诈现象,或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的,但许多都缺乏关键的技术细节,尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎,尽量减少与其交互,并避免长期储存资产。
了解Telegram机器人及其代币Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪,并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年,但近年来它们随着Telegram机器人代币的出现而备受关注。
Telegram机器人代币是集成到Telegram机器人中的原生代币,主要用于多样化的交易功能,如执行DEX交易、跨钱包管理投资组合、Yield Farming以及其他与DeFi相关的可行操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。如果这些程序能够长期保持安全和正常运行,可能会对DeFi的整体可访问性带来重大影响。
- 星际资讯
免责声明:投资有风险,入市须谨慎。本资讯不作为投资建议。