Unibot遭攻击损失超60万美元,TG BOT安全性存疑
安全机构 BlockSecTeam 分析认为,由于代码未开源,怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证,从而允许任意调用。
原文来源:Odaily星球日报
原文作者:秦晓峰
今天下午,多位社区成员反应,Telegram Bot 项目 Unibot 遭遇攻击。根据 Scopescan 监测,攻击者从 Unibot 用户处转移代币,并正在将其兑换成 ETH,目前损失已超过 60 万美元。
消息一出,代币 UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40% ,目前暂报 39.5 USDT。
安全公司:尽快取消授权
安全机构 BlockSecTeam 分析认为,由于代码未开源,怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证,从而允许任意调用。因此,攻击者可以调用“transferFrom”来转出合约中批准的代币。BlockSecTeam 提醒用户,尽快撤销合约批准,并将资金转移到新钱包。
Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于 CAll 注入,攻击者可以将自定义的恶意调用数据传递到 0xb2bd16ab合约中,从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。攻击相关地址如下:https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04
黑客蛰伏半年进行攻击
本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据 Scopescan 监测,黑客在 Unibot 启动一周后,从 FixedFloat(混币器)收到 1 枚 ETH 做为此次攻击的 Gas,此后半年再没有相关动作,直到今日进行攻击。
不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。
链上信息显示,黑客钱包地址目前剩余资产约 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下
关于【Unibot遭攻击损失超60万美元,TG BOT安全性存疑】的延伸阅读
与Solana团队分道扬镳,Unibot官方推出专用交易Bot能否重新挽回市场份额?
Unibot与Solana团队合作结束,推出专门针对Solana链的机器人Unisol X,免交易手续费。双方互相指责,Unibot称Solana团队违反信任、拒绝KYC和未兑现财务承诺。Unibot代币下跌超过一半,市值蒸发约4000万美元,但Unisol X交易量未受影响,甚至达到历史最高点。Unibot宣布推出自己的Solana机器人,但能否重夺市场份额仍未可知。用户群体处于弱势,一些用户声称使用Unibot on Solana后丢失资产。Unibot曾遭黑客攻击,造成损失,团队已赔偿。Telegram Bot产品商业魅力充分证明,但贡献私钥给平台或由平台生成钱包存在安全隐患,用户需谨慎。
长推:TeleBot赛道龙头数据分析
TeleBot交易类的Bot有三个项目:Maestro(未发币)、Unibot(流通市值61M)和banana Gun(流通市值38M)。用户数量和交易量数据显示,Maestro和banana Gun领先,Unibot用户数量比前三名少,交易量也只有前两者的1/10。收入最高的是maestro,其次是banana,第三是unibot,banana的收入是unibot的2倍左右。
另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到 20, 789 个的 USDC,花了 1000 美元购买了 SMilk,剩余价值 19, 789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以 2, 194 美元的价格卖出 SMilk,赚了 1, 194 美元(收益率 120% );一个小时后,最后剩下的 2194 美元的 USDC 又被偷了。
路由器出现漏洞,攻击仍在持续
Unibot 官方发布公告称,本次攻击主要是新的路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该漏洞造成的任何资金损失都将得到补偿,Unibot 将在调查结束后发布详细答复。
社区用户@tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0x126 Router 获得批准的 addys 处获取资金,用户资金仍存在风险。
BOT 产品安全存疑
Unibot 是一款流行的新型 Telegram Bot,允许用户无需离开 Telegram 应用即可交易加密货币货币。 该机器人易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于 DEX 的限价订单以及针对 MEV 机器人的防护。
根据 CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二; Maestro 排名第一,累计收益 1.32 万枚 ETH; Banana Gun 排名第三,收益为 1940 枚 ETH。
不过,BOT 产品也存在较大安全隐患,特别是最近 Maestro 合约也出现同样的路由器漏洞,损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 ( https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e… ) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。
免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:秦晓峰,如有侵权请联系删除。转载或引用请注明文章出处!
