繼Maestrobot後,Telegram Bot項目再遭惡意利用:Unibot攻擊事件分析

2023-11-01 16:11:38

北京時間2023年10月31日12:39:23, Unibot發生漏洞惡意利用,損失了64萬美元的資產 。攻擊者利用Unibot路由器合約中的“arbitrary call”漏洞,將價值64萬美元的各種預先授權給路由合約的代幣轉移到自己名下。

讓我們先來了解一下此次事件的漏洞分析和攻擊過程。

漏洞分析

函數0xb2bd16ab()未正確檢查輸入參數,特別是varg0和varg4,這兩個參數被用於任意調用外部代幣合約並執行‘transferFrom()’方法。

攻擊過程

攻擊從北京時間31日12:39:23开始,持續到了31日的14:09:47。在此期間,攻擊者執行了 22次攻擊交易 ,調用了攻擊合約上的"0x5456a7bf()"方法,該方法反復調用Unibot路由器合約中的"0xb2bd16ab()"方法,將各種代幣從受害者地址轉移到自己的账戶。

總共有42種代幣通過路由器從364個受害者地址轉移到了攻擊者手中,漏洞利用者隨後出售了這些代幣, 獲得總計355.5 ETH(約合64萬美元)

Unibot團隊稍後做出回應,部署了新的路由器合約。在其官方X账號中他們還宣布了對所有受害者的賠償計劃。目前所有355.5ETH已被轉入Tornado.Cash。

Telegram機器人

此次攻擊與此前的Maestrobot事件非常相似 。10月25日,CertiK Alert即在X平臺發布警告稱,Telegram 機器人項目Maestro Bots路由器合約遭受攻擊,導致損失約50萬美元。

Telegram機器人是Web3.0世界中的一個新興領域,它讓用戶能夠通過Telegram界面進行各種DeFi操作,同時將代幣整合其中。然而,如何區分真正的創新和令人迷惑的假象也變得越來越復雜。

CertiK安全團隊對CoinGecko的Telegram機器人代幣列表中的61個項目進行了研究, 發現近40%的項目疑似處於休眠狀態、可能存在欺詐現象 ,或面臨無法從大幅拋售中恢復的風險。這些平臺的交易機制無疑是創新的,但許多都缺乏關鍵的技術細節,尤其是應用內錢包私鑰管理的相關信息。我們建議用戶在這些平臺上操作需格外謹慎,盡量減少與其交互,並避免長期儲存資產。

了解Telegram機器人及其代幣

Telegram機器人是通過Telegram聊天程序運行的自動化程序 。它們可以進行交易、向用戶提供市場數據、評估社交媒體上的情緒,並通過Telegram界面發起的執行命令與智能合約進行交互。這種類型的機器人已存在多年,但近年來它們隨着Telegram機器人代幣的出現而備受關注。

Telegram機器人代幣是集成到Telegram機器人中的原生代幣,主要用於多樣化的交易功能,如執行DEX交易、跨錢包管理投資組合、Yield Farming以及其他與DeFi相關的可行操作。這些代幣本質上允許用戶僅通過與Telegram界面的交互就能對接整個DeFi。 如果這些程序能夠長期保持安全和正常運行,可能會對DeFi的整體可訪問性帶來重大影響。

今年7月20日之後,這些代幣的受歡迎程度急劇上升,一些代幣的漲幅甚至超過了1000%。這種趨勢反映了Web3.0社區中常見的周期性狂熱,其驅動力來自X平臺(前Twitter)上Web3.0貨幣社區的敘事共鳴。

尤其是Unibot嶄露頭角之後,又湧現出了大量TBT。而截至2023年8月3日,CoinGecko的機器人代幣欄目已經列出了61個此類系統。

穿越敘事的交叉路口

TBT(Telegram機器人代幣)在Web3.0領域佔據了獨特的地位。在X平臺(前Twitter)上,Web3.0貨幣愛好者經常把它們作為實用代幣來討論。此前,“實用”一詞在Web3.0貨幣領域一直與元敘事相關聯,通常涉及人工智能、金融科技、物流、跨境交易等專業行業的故事。TBT最初是伴隨着“實用”敘事而發展起來的,旨在通過創新的用戶界面來分散和完善交易活動。但是,TBT其實已經超越了單一的實用元敘事,在各種meme和非meme敘事中找到了共鳴。

與此同時,隨着TBT敘事的發展, 圍繞迷你遊戲meme代幣的周期性炒作出現了 ,尤其是一個名為“$HAMS”的項目。$HAMS是一個曇花一現的meme代幣,允許用戶在倉鼠比賽直播中下注。然而,由於社區成員指控運營商重復使用倉鼠視頻片段,$HAMS在推出後不久便夭折了。這催生了其他各種遊戲紀念代幣,也稱其為TBT。其中一種代幣叫“$TETRIS”,用戶可以在其中賭博並參與玩家之間的俄羅斯方塊競賽。某些遊戲紀念代幣之間的聯系是通過在X平臺上被廣泛提及而形成的。

TBT敘事交叉的另一個例子涉及PAAL AI。雖然這不是一個專門的meme,但該項目开發了一個類似ChatGPT的Telegram聊天機器人。代幣和項目結構也與其他TBT結構類似。令人費解的是,該項目似乎並沒有制作Telegram聊天機器人,而是提供了一個類似ChatGPT的網頁界面。不過,該機器人還是可以通過API集成到用戶個人的Telegram頻道中。

CoinGecko的TBT分類

Unibot發布後不久,CoinGecko推出了其TBT詳細列表。該列表最初於7月20日左右發布,包含約30種代幣。在短短幾周內,這一數字就激增到了61。我們採用多種方法對這份名單進行了分析, 包括價格動量、流動性動態和交易活躍度等綜合指標 ,並根據這些項目是否可能死亡或交易是否仍然活躍對其進行了分類。截至8月的具體分布情況如下方柱狀圖所示:

在這61個項目中,我們將37個歸為活躍項目,24個歸為已死亡或可能已死亡項目。這些項目要么跌幅超過85%,其資金池只有極少甚至沒有流動性,且沒有任何活動,要么很可能是退出騙局。也就是說,該類別中有近40%的項目已經死亡或不太可能恢復。

值得一提的是,注冊Telegram機器人账戶時提供的錢包是自動生成的,而私鑰是之後提供的。Unibot未說明這些私鑰的存儲方式或位置是存儲在本地還是服務器後臺。 這意味着,使用這些Telegram機器人進行交易和存儲資金都是非常危險的。

 

未整合Telegram的項目

在研究過程中,我們發現一些被列為TBT的項目要么沒有將其代幣整合到Telegram中,要么沒有Telegram交易機器人,而只有普通的Telegram社區頻道。一些項目擁有與Unibot相同功能的外部DApp,另一些項目的路线圖表示Telegram整合將在未來實現。

其他項目則不具備這些功能,但它們出現在這份名單上或許表明了我們前面提到的交叉敘事。 這些項目可能在向CoinGecko提交申請時,自我標榜為TBT類型的項目 ,並表明了整合或將在未來整合的目標。我們看到了敘事炒作如何擴大特定類別代幣的情況,有些代幣甚至以被“meme”的方式存在,即使該項目實際上與其被分配的類別毫無關系。據我們分析,這類敘事炒作的影響非常巨大,足以部分解釋以上這種分歧現象。

寫在最後

每當有新的敘事在數字貨幣社區流行起來時,會有大量類似項目繼續以同樣的敘事進行發布,其中許多要么是退出騙局,要么企圖竊取投資者的資產,TBT在這方面也不例外。

TBT的开發可能是DeFi社區的一項獨特創新 。盡管這類代幣的效用尚不明確,但類似平臺的出現,為投資者提供了將數據匯總到交易策略中的新方法。 然而,用戶應該對這些平臺格外謹慎。

在TBT領域,項目都是通過meme的方式存在,其價值可能在一夜之間消失殆盡,這就要求我們保持謹慎和知情的參與態度。很多項目不能向用戶提供清晰的文檔,無法說明其錢包密鑰的存儲位置和生成方式,因此存在巨大的未知風險。

用戶應不考慮使用這些平臺進行存儲 。在將外部錢包鏈接到這些平臺,或與這些項目生成的網站進行交互時,用戶也應謹慎行事。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

VC 如何看待目前的迷因幣狂潮?Meme 本輪週期還能走多久

Y etta,現在這種市場你們焦慮嗎?,這是在一個飯局上別人認真向我發出的提問,我當時先是一愣,不...

PANews
5 2小時前

比特幣直衝 10 萬美元,滿手山寨幣的我該怎麼辦?

比 特幣吸血行情處在自我強化的階段,之前只是吸血山寨幣,這兩天開始吸血鏈上 MeMe 幣。早上觀察...

PANews
5 2小時前

星球日報|Cboe向美SEC提交4支Solana現貨ETF上市申請;Tether近期已累計增發90億枚USDT(11月22日)

頭條 Cboe 向美 SEC 提交 4 支 Solana 現貨 ETF 上市申請 彭博高級 ETF...

星球日報
5 2小時前

香港Web3宣言兩周年,HashKey總經理Anna Liu談代幣化未來

整理:Tia,Techub News 作為亞洲頂尖的加密資產企業之一,HashKey Group...

TechubNews
4 2小時前

萬萬沒想到,AI盜了我的錢包

原創 | Odaily星球日報( @OdailyChina ) 作者|Azuma( @azuma_...

星球日報
5 2小時前

美 SEC 主席 Gary Gensler 宣布將辭職,加密貨幣迎來四年坦途?

撰文:Alex Liu,Foresight News 11 月 22 日凌晨,亞洲時區夜深人靜之際...

ForesightNews
5 2小時前