近日,Telegram bot 賽道專案 Unibot 發生駭客攻擊,損失 64 萬美元資產,本文將介紹此次事件的攻擊過程。本文原自 CertiK 分析團隊所著《繼Maestrobot後,Telegram Bot項目再遭惡意利用:Unibot攻擊事件分析》,PANews整理、重新撰稿。
(前情提要:小心假招聘攻擊!北韓駭客(拉撒路)新惡意病毒可躲避偵測 )
(背景補充:V神都中招的推特(X平台)盜帳號攻擊,該如何防範? )
北京時間 2023 年 10 月 31 日 12:39:23, Unibot 發生漏洞惡意利用,損失了 64 萬美元的資產 。攻擊者利用 Unibot 路由器合約中的 「arbitrary call」 漏洞,將價值 64 萬美元的各種預先授權給路由合約的代幣轉移到自己名下。
讓我們先來了解一下此次事件的漏洞分析和攻擊過程。
漏洞分析
函式 0xb2bd16ab () 未正確檢查輸入引數,特別是 varg0 和 varg4,這兩個引數被用於任意呼叫外部代幣合約並執行‘transferFrom ()’方法。
攻擊過程
攻擊從北京時間 31 日 12:39:23 開始,持續到了 31 日的 14:09:47。在此期間,攻擊者執行了 22 次攻擊交易 ,呼叫了攻擊合約上的 “0x5456a7bf ()” 方法,該方法反覆呼叫 Unibot 路由器合約中的 “0xb2bd16ab ()” 方法,將各種代幣從受害者地址轉移到自己的帳戶。
總共有 42 種代幣通過路由器從 364 個受害者地址轉移到了攻擊者手中,漏洞利用者隨後出售了這些代幣, 獲得總計 355.5 ETH(約合 64 萬美元)。
Unibot 團隊稍後做出回應,部署了新的路由器合約。在其官方 X 帳號中他們還宣佈了對所有受害者的賠償計劃。目前所有 355.5ETH 已被轉入 Tornado.Cash。
Telegram 機器人
此次攻擊與此前的 Maestrobot 事件非常相似 。10 月 25 日,CertiK Alert 即在 X 平臺釋出警告稱,Telegram 機器人專案 Maestro Bots 路由器合約遭受攻擊,導致損失約 50 萬美元。
Telegram 機器人是 Web3.0 世界中的一個新興領域,它讓使用者能夠通過 Telegram 介面進行各種 DeFi 操作,同時將代幣整合其中。然而,如何區分真正的創新和令人迷惑的假象也變得越來越複雜。
CertiK 安全團隊對 CoinGecko 的 Telegram 機器人代幣列表中的 61 個專案進行了研究, 發現近 40% 的專案疑似處於休眠狀態、可能存在欺詐現象 ,或面臨無法從大幅拋售中恢復的風險。這些平臺的交易機制無疑是創新的,但許多都缺乏關鍵的技術細節,尤其是應用內錢包私鑰管理的相關資訊。我們建議使用者在這些平臺上操作需格外謹慎,儘量減少與其互動,並避免長期儲存資產。
延伸閱讀:Telegram Bot賽道為何能爆火?未來如何發展?
瞭解 Telegram 機器人及其代幣
Telegram 機器人是通過 Telegram 聊天程式執行的自動化程式 。它們可以進行交易、向用戶提供市場資料、評估社交媒體上的情緒,並通過 Telegram 介面發起的執行命令與智慧合約進行互動。這種型別的機器人已存在多年,但近年來它們隨著 Telegram 機器人代幣的出現而備受關注。
Telegram 機器人代幣是整合到 Telegram 機器人中的原生代幣,主要用於多樣化的交易功能,如執行 DEX 交易、跨錢包管理投資組合、Yield Farming 以及其他與 DeFi 相關的可行操作。這些代幣本質上允許使用者僅通過與 Telegram 介面的互動就能對接整個 DeFi。 如果這些程式能夠長期保持安全和正常執行,可能會對 DeFi 的整體可訪問性帶來重大影響。
今年 7 月 20 日之後,這些代幣的受歡迎程度急劇上升,一些代幣的漲幅甚至超過了 1000%。這種趨勢反應了 Web3.0 社群中常見的週期性狂熱,其驅動力來自 X 平臺(前 Twitter)上 Web3.0 貨幣社群的敘事共鳴。
尤其是 Unibot 嶄露頭角之後,又湧現出了大量 TBT。而截至 2023 年 8 月 3 日,CoinGecko 的機器人代幣欄目已經列出了 61 個此類系統。
延伸閱讀:JZ Invest專欄》Telegram Bot暴漲66倍又如何?熱潮難以延續?
穿越敘事的交叉路口
TBT(Telegram 機器人代幣)在 Web3.0 領域佔據了獨特的地位。在 X 平臺(前 Twitter)上,Web3.0 貨幣愛好者經常把它們作為實用代幣來討論。此前,「實用」 一詞在 Web3.0 貨幣領域一直與元敘事相關聯,通常涉及人工智慧、金融科技、物流、跨境交易等專業行業的故事。TBT 最初是伴隨著 「實用」 敘事而發展起來的,旨在通過創新的使用者介面來分散和完善交易活動。但是,TBT 其實已經超越了單一的實用元敘事,在各種 meme 和非 meme 敘事中找到了共鳴。
與此同時,隨著 TBT 敘事的發展, 圍繞迷你遊戲 meme 代幣的週期性炒作出現了 ,尤其是一個名為 「$HAMS」 的專案。$HAMS 是一個曇花一現的 meme 代幣,允許使用者在倉鼠比賽直播中下注。然而,由於社群成員指控運營商重複使用倉鼠視訊片段,$HAMS 在推出後不久便夭折了。這催生了其他各種遊戲紀念代幣,也稱其為 TBT。其中一種代幣叫 「$TETRIS」,使用者可以在其中賭博並參與玩家之間的俄羅斯方塊競賽。某些遊戲紀念代幣之間的聯絡是通過在 X 平臺上被廣泛提及而形成的。
TBT 敘事交叉的另一個例子涉及 PAAL AI。雖然這不是一個專門的 meme,但該專案開發了一個類似 ChatGPT 的 Telegram 聊天機器人。代幣和專案結構也與其他 TBT 結構類似。令人費解的是,該專案似乎並沒有製作 Telegram 聊天機器人,而是提供了一個類似 ChatGPT 的網頁介面。不過,該機器人還是可以通過 API 整合到使用者個人的 Telegram 頻道中。
CoinGecko 的 TBT 分類
Unibot 釋出後不久,CoinGecko 推出了其 TBT 詳細列表。該列表最初於 7 月 20 日左右釋出,包含約 30 種代幣。在短短幾周內,這一數位就激增到了 61。我們採用多種方法對這份名單進行了分析, 包括價格動量、流動性動態和交易活躍度等綜合指標 ,並根據這些專案是否可能死亡或交易是否仍然活躍對其進行了分類。截至 8 月的具體分佈情況如下方柱狀圖所示:
在這 61 個專案中,我們將 37 個歸為活躍專案,24 個歸為已死亡或可能已死亡專案。這些專案要麼跌幅超過 85%,其資金池只有極少甚至沒有流動性,且沒有任何活動,要麼很可能是退出騙局。也就是說,該類別中有近 40% 的專案已經死亡或不太可能恢復。
值得一提的是,註冊 Telegram 機器人帳戶時提供的錢包是自動生成的,而私鑰是之後提供的。Unibot 未說明這些私鑰的儲存方式或位置是儲存在本地還是伺服器後臺。 這意味著,使用這些 Telegram 機器人進行交易和儲存資金都是非常危險的。
未整合 Telegram 的專案
在研究過程中,我們發現一些被列為 TBT 的專案要麼沒有將其代幣整合到 Telegram 中,要麼沒有 Telegram 交易機器人,而只有普通的 Telegram 社群頻道。一些專案擁有與 Unibot 相同功能的外部 DApp,另一些專案的路線圖表示 Telegram 整合將在未來實現。
其他專案則不具備這些功能,但它們出現在這份名單上或許表明了我們前面提到的交叉敘事。 這些專案可能在向 CoinGecko 提交申請時,自我標榜為 TBT 型別的專案 ,並表明了整合或將在未來整合的目標。我們看到了敘事炒作如何擴大特定類別代幣的情況,有些代幣甚至以被 「meme」 的方式存在,即使該專案實際上與其被分配的類別毫無關係。據我們分析,這類敘事炒作的影響非常巨大,足以部分解釋以上這種分歧現象。
寫在最後
每當有新的敘事在數位貨幣社群流行起來時,會有大量類似專案繼續以同樣的敘事進行釋出,其中許多要麼是退出騙局,要麼企圖竊取投資者的資產,TBT 在這方面也不例外。
TBT 的開發可能是 DeFi 社群的一項獨特創新 。儘管這類代幣的效用尚不明確,但類似平臺的出現,為投資者提供了將資料彙總到交易策略中的新方法。 然而,使用者應該對這些平臺格外謹慎。
在 TBT 領域,專案都是通過 meme 的方式存在,其價值可能在一夜之間消失殆盡,這就要求我們保持謹慎和知情的參與態度。很多專案不能向用戶提供清晰的文件,無法說明其錢包金鑰的儲存位置和生成方式,因此存在巨大的未知風險。
使用者應不考慮使用這些平臺進行儲存 。在將外部錢包連結到這些平臺,或與這些專案生成的網站進行互動時,使用者也應謹慎行事。
