风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

北京时间2023年10月31日12:39:23,Unibot发生漏洞恶意利用,损失了64万美元的资产。让我们来了解一下此次事件的漏洞分析和攻击过程。

CertiK
CertiK
热度 ...
 

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

北京时间2023年10月31日12:39:23,Unibot发生漏洞恶意利用,损失了64万美元的资产。攻击者利用Unibot路由器合约中的“arbitrary call”漏洞,将价值64万美元的各种预先授权给路由合约的代币转移到自己名下。

让我们先来了解一下此次事件的漏洞分析和攻击过程。


漏洞分析

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

函数0xb2bd16ab()未正确检查输入参数,特别是varg0和varg4,这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

攻击过程

攻击从北京时间31日12:39:23开始,持续到了31日的14:09:47。在此期间,攻击者执行了22次攻击交易,调用了攻击合约上的"0x5456a7bf()"方法,该方法反复调用Unibot路由器合约中的"0xb2bd16ab()"方法,将各种代币从受害者地址转移到自己的账户。

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中,漏洞利用者随后出售了这些代币,获得总计355.5 ETH(约合64万美元)

Unibot团队稍后做出回应,部署了新的路由器合约。在其官方X账号中他们还宣布了对所有受害者的赔偿计划。目前所有355.5ETH已被转入Tornado.Cash。

Telegram机器人

此次攻击与此前的Maestrobot事件非常相似。10月25日,CertiK Alert即在X平台发布警告称,Telegram 机器人项目Maestro Bots路由器合约遭受攻击,导致损失约50万美元。

Telegram机器人是Web3.0世界中的一个新兴领域,它让用户能够通过Telegram界面进行各种DeFi操作,同时将代币整合其中。然而,如何区分真正的创新和令人迷惑的假象也变得越来越复杂。

CertiK安全团队对CoinGecko的Telegram机器人代币列表中的61个项目进行了研究,发现近40%的项目疑似处于休眠状态、可能存在欺诈现象,或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的,但许多都缺乏关键的技术细节,尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎,尽量减少与其交互,并避免长期储存资产。


了解Telegram机器人及其代币

Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪,并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年,但近年来它们随着Telegram机器人代币的出现而备受关注。

Telegram机器人代币是集成到Telegram机器人中的原生代币,主要用于多样化的交易功能,如执行DEX交易、跨钱包管理投资组合、Yield Farming以及其他与DeFi相关的可行操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。如果这些程序能够长期保持安全和正常运行,可能会对DeFi的整体可访问性带来重大影响。

今年7月20日之后,这些代币的受欢迎程度急剧上升,一些代币的涨幅甚至超过了1000%。这种趋势反映了Web3.0社区中常见的周期性狂热,其驱动力来自X平台(前Twitter)上Web3.0货币社区的叙事共鸣。

尤其是Unibot崭露头角之后,又涌现出了大量TBT。而截至2023年8月3日,CoinGecko的机器人代币栏目已经列出了61个此类系统。


穿越叙事的交叉路口

TBT(Telegram机器人代币)在Web3.0领域占据了独特的地位。在X平台(前Twitter)上,Web3.0货币爱好者经常把它们作为实用代币来讨论。此前,“实用”一词在Web3.0货币领域一直与元叙事相关联,通常涉及人工智能、金融科技、物流、跨境交易等专业行业的故事。TBT最初是伴随着“实用”叙事而发展起来的,旨在通过创新的用户界面来分散和完善交易活动。但是,TBT其实已经超越了单一的实用元叙事,在各种meme和非meme叙事中找到了共鸣。

与此同时,随着TBT叙事的发展,围绕迷你游戏meme代币的周期性炒作出现了,尤其是一个名为“$HAMS”的项目。$HAMS是一个昙花一现的meme代币,允许用户在仓鼠比赛直播中下注。然而,由于社区成员指控运营商重复使用仓鼠视频片段,$HAMS在推出后不久便夭折了。这催生了其他各种游戏纪念代币,也称其为TBT。其中一种代币叫“$TETRIS”,用户可以在其中赌博并参与玩家之间的俄罗斯方块竞赛。某些游戏纪念代币之间的联系是通过在X平台上被广泛提及而形成的。

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

TBT叙事交叉的另一个例子涉及PAAL AI。虽然这不是一个专门的meme,但该项目开发了一个类似ChatGPT的Telegram聊天机器人。代币和项目结构也与其他TBT结构类似。令人费解的是,该项目似乎并没有制作Telegram聊天机器人,而是提供了一个类似ChatGPT的网页界面。不过,该机器人还是可以通过API集成到用户个人的Telegram频道中。

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

CoinGecko的TBT分类

Unibot发布后不久,CoinGecko推出了其TBT详细列表。该列表最初于7月20日左右发布,包含约30种代币。在短短几周内,这一数字就激增到了61。我们采用多种方法对这份名单进行了分析,包括价格动量、流动性动态和交易活跃度等综合指标,并根据这些项目是否可能死亡或交易是否仍然活跃对其进行了分类。截至8月的具体分布情况如下方柱状图所示:

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

在这61个项目中,我们将37个归为活跃项目,24个归为已死亡或可能已死亡项目。这些项目要么跌幅超过85%,其资金池只有极少甚至没有流动性,且没有任何活动,要么很可能是退出骗局。也就是说,该类别中有近40%的项目已经死亡或不太可能恢复。

值得一提的是,注册Telegram机器人账户时提供的钱包是自动生成的,而私钥是之后提供的。Unibot未说明这些私钥的存储方式或位置是存储在本地还是服务器后台。这意味着,使用这些Telegram机器人进行交易和存储资金都是非常危险的。


未整合Telegram的项目

在研究过程中,我们发现一些被列为TBT的项目要么没有将其代币整合到Telegram中,要么没有Telegram交易机器人,而只有普通的Telegram社区频道。一些项目拥有与Unibot相同功能的外部DApp,另一些项目的路线图表示Telegram整合将在未来实现。

其他项目则不具备这些功能,但它们出现在这份名单上或许表明了我们前面提到的交叉叙事。这些项目可能在向CoinGecko提交申请时,自我标榜为TBT类型的项目,并表明了整合或将在未来整合的目标。我们看到了叙事炒作如何扩大特定类别代币的情况,有些代币甚至以被“meme”的方式存在,即使该项目实际上与其被分配的类别毫无关系。据我们分析,这类叙事炒作的影响非常巨大,足以部分解释以上这种分歧现象。


写在最后

每当有新的叙事在数字货币社区流行起来时,会有大量类似项目继续以同样的叙事进行发布,其中许多要么是退出骗局,要么企图窃取投资者的资产,TBT在这方面也不例外。

TBT的开发可能是DeFi社区的一项独特创新。尽管这类代币的效用尚不明确,但类似平台的出现,为投资者提供了将数据汇总到交易策略中的新方法。然而,用户应该对这些平台格外谨慎。

在TBT领域,项目都是通过meme的方式存在,其价值可能在一夜之间消失殆尽,这就要求我们保持谨慎和知情的参与态度。很多项目不能向用户提供清晰的文档,无法说明其钱包密钥的存储位置和生成方式,因此存在巨大的未知风险。

用户应不考虑使用这些平台进行存储。在将外部钱包链接到这些平台,或与这些项目生成的网站进行交互时,用户也应谨慎行事。

Telegram Bot项目再遭恶意利用:Unibot攻击事件分析

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:CertiK,如有侵权请联系删除。转载或引用请注明文章出处!

分享至
https://www.chainlook.cn/toutiao/1698814239.html

下一篇:

2023数码港创业投资论坛盛大开幕

香港,2023年10月31日–数码港年度创投盛事「2023数码港创业投资论坛」(CVCF)于今日(31日)揭幕。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5