veDAO 研究院:Unibot 遭遇黑客入侵:Telegram 用户该如何保障资产安全?
避免泄露个人信息、汇款或点击可疑链接至关重要。
作者:veDAO
著名的 Telegram 交易工具 Unibot 成为了不断扩大的一系列加密货币被攻击事件中的最新受害者。
Unibot 承认在 10 月 31 日遭受了攻击,原因是在新路由器中出现了代币批准的漏洞。Unibot 官方发布公告称:“在新路由器中出现了代币批准的漏洞,Unibot 已暂停了新路由器以解决这个问题。由于新路由器的错误而造成的任何资金损失都将得到补偿;用户的密钥和钱包是安全的,将在调查结束后发布详细回应。” 据悉该漏洞造成了超过 630,000 美元的损失。本篇,veDAO 研究院将带来该事件的具体消息,以及如何保护自己在 Telegram 上的资产安全的建议。
Unibot 被攻击的始末
10 月 31 日,区块链分析公司 Scopescan 通知 Unibot 的用户,称该平台正在遭受一次正在进行但未被发现的攻击事件,Unibot 的一个最新部署的合约上的漏洞导致了多个用户的加密货币余额被清空。
随后,Unibot 发布了文章开头提到的公告,透露了被黑客攻击的第一批细节,并确认了是由于新路由器中出现了代币批准的漏洞导致遭受攻击。
Scopescan 敦促用户取消对被利用合约(0x126c9FbaB3A2FCA24eDfd17322E71a5e36E91865)的批准,并将资金转移到新钱包,以配合 Unibot 和区块链调查人员的持续调查。
Unibot 承诺将赔偿所有因合同漏洞造成财务损失的用户。此次攻击从北京时间 31 日 12:39:23 开始,持续到了 31 日的 14:09:47。在此期间,攻击者执行了 22 次攻击交易,总共有 42 种代币通过路由器从 364 个受害者地址转移到了攻击者手中,漏洞利用者随后出售了这些代币,获得总计 355.5 ETH。目前所有 355.5ETH 已被转入 Tornado.Cash。根据每周交易统计数据,其中包括 Joe(JOE)、UNIBOT 和 BeerusCat(BCAT)等加密货币。
UNIBOT 跌幅近 40%
虽然 Unibot 官方已承诺赔偿损失,但受到黑客消息影响,UNIBOT 仍出现暴跌的情况。根据 CoinMarketCap 数据显示,UNIBOT 事发后从 58.34 美元暴跌至最低 35.94 美元,最大跌幅高达 38%,后续稍有回升,在 42 美元徘徊。值得注意的是,尽管恐慌性抛售量强劲,但巨鲸和聪明钱还是借机大量抄底吸纳了更多 UNIBOT。
后续
11 月 1 日,Unibot 在 Telegram 发布公告称,昨日的漏洞已得到完全解决,已恢复到旧路由器;Unibot 目前已经安全且能正常运行。然而受损用户的资产退还需要一些时间:Unibot 目前正进行最后几轮的模拟,意图通过额外的措施,来确保彻底退还用户的代币。该公告称,由于受到漏洞影响的代币种类超过 100 种,因此退款过程比预期的要长。由于这些代币在规模和流动性方面各不相同,所以退款最终将以不同代币+ETH 的混合形式进行。
什么是 Unibot?
Unibot 是一个内置在 Telegram 的交易工具机器人,用户在 Telegram 内与机器人以对话的形式发布交易指令就可完成链上代币在 Uniswap 上的交易活动,如代币兑换、跟单交易、限价订单、隐私交易等。Unibot 在 Telegram 上因其易用的界面而备受欢迎。简而言之,Unibot 允许用户无需离开聊天 App 的情况下在切换不同代币。然而,用户也可以利用 MEV 保护交易并复制其他交易者的交易方案。该 App 的原生代币在 8 月中旬曾飙升至惊人的 236 美元,其受欢迎的程度可见一斑。
veDAO – Web3 Investment Guide – Accurately Capturing Alpha for a Hundredfold Returnapp.vedao.com
Telegram 机器人
除了 Unibot,还有很多 Telegram 机器人,像 Mizar、Banana Gun、Maestro 和 Wagie Bot 等都拥有很多用户。Telegram 机器人是通过 Telegram 聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪,并通过 Telegram 界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年,但近年来它们随着 Telegram 机器人代币的出现而备受关注。
Telegram 机器人代币是集成到 Telegram 机器人中的原生代币,主要用于多样化的交易功能,如执行 DEX 交易、跨钱包管理投资组合、流动性挖矿以及其他与 DeFi 相关的操作。这些代币本质上允许用户仅通过与 Telegram 界面的交互就能对接整个 DeFi。
今年 7 月末开始,这些代币的受欢迎程度急剧上升,一些代币的涨幅甚至超过了 1000%。尤其是 Unibot 崭露头角之后,又涌现出了大量 Telegram 机器人代币。目前,CoinMarketCap 上收录了 73 个 Telegram 机器人代币。
Unibot – 加密安全隐患的新问题
Unibot 这次的漏洞,意味着其智能合约存在权限缺陷,可能导致用户的代币被移动到指定限制之外或进行未经授权的访问,从而引起了人们的担忧。
在将被盗走的资产转移到 Tornado.Cash 之前,攻击者首先将它们转移到了去中心化交易所 Uniswap。在加密世界中,Tornado.Cash 经常成为引人注目的黑客攻击和漏洞利用的中心。该协议开发团队的几位成员在今年 8 月被指控协助黑客洗钱,涉及的金额超过了 10 亿美元,其中包括来自朝鲜的企业。与逮捕和随后的处罚之前相比,使用该隐私协议的人数减少了 90%。
在 Unibot 遭受袭击之前的一周,一些 LastPass 用户报告称,他们在加密货币中损失了 440 万美元。安全专家指出,这可能是由于去年 12 月的一个 LastPass 漏洞,尽管在过去的十个月里频繁的漏洞让许多人感到困惑,因为它们似乎没有规律可循。
加密货币领域的另一个主要弱点是能够让用户在不兼容的网络之间转移资产的区块链间的跨链桥。依赖于 Optimism 的借贷平台 Exactly 在今年 8 月被盗,损失达 700 万美元。像 Axie Infinity 的 Ronin 跨链桥在 2022 年 3 月被黑客利用,造成了约 6.22 亿美元的损失;此外还有 Wormhole 加密货币平台的漏洞事件,黑客从中窃取了惊人的 3.2 亿美元。
这些事件不断地提醒人们,在加密货币持续向主流市场发展的过程中,这些安全问题是无法回避的困难。
如何在 Telegram 上保护资产安全
Telegram 已经成为加密货币社区中最常用的消息传递程序之一。每个重要的区块链项目和加密货币社区都有一个 Telegram 帐户,他们在那里创建频道和群组,以鼓励互动和社区建设。Telegram 的广泛使用使它成为了加密货币爱好者了解更多信息、讨论他们喜爱的项目的宝贵工具,但它也引来了黑客的关注。
我们来梳理下在 Telegram 上有哪些常见的加密货币诈骗方式,以及如何保护资产安全:
钓鱼和消息诈骗
在 Telegram 上,钓鱼采取 “Smishing”(短信钓鱼)的形式。其目的是提取敏感数据,通常是针对高知名度人士的 “鲸鱼” 或 “鱼叉式钓鱼” 攻击。
在 Telegram 上的钓鱼诈骗,通常是通过发信息来进行钓鱼。有广撒网式的、向尽可能多的人发送恶意欺骗信息。更多的是目标为提取敏感数据的 “鱼叉式网络钓鱼(spear phishing)” 和 “鲸钓攻击(whaling)”,用于针对组织和知名人士。
平台外诈骗
这些诈骗会引诱用户离开平台并点击链接,从而可能诱骗用户共享个人信息或下载恶意软件。
模仿诈骗
诈骗者创建假的 Telegram 频道或群组,模仿真实的频道,使用户相信他们是真正社区的一部分。你可以通过在设置中启用仅限管理员发布并限制谁可以将你添加到频道,来验证频道的真实性。
冒充加密专家
Telegram 上的诈骗者冒充加密专家,并承诺能提高你的收益。他们通常在收集用户的登录信息后就立马消失。
拉高出货计划
这些诈骗活动宣传可能对价格产生影响的事件,敦促用户进行投资或出售。在私人消息中接收陌生投资建议时务必要小心。
Telegram 机器人
尽管 Telegram 机器人可能很有用,但一些黑客创建了假的机器人。避免那些急于让您采取行动的机器人,检查它们的电话号码、发布的内容,永远不要分享敏感信息。
技术支持诈骗
诈骗者会在 Telegram 频道中冒充支持人员。切勿与所谓的支持人员分享机密信息,无论他们是机器人还是真人。
虚假赠品
要警惕那些要求你提供银行详细信息,或是要求你支付费用以领取奖品的赠品,因为这些很可能是诈骗。
由于 Telegram 上几乎囊括了绝大多数的加密货币项目,各种社群多如牛毛,因此骗子将其视为一个吸引人的平台。因此,避免泄露个人信息、汇款或点击可疑链接至关重要。
