黑客突然下手 由Unibot被黑看Telegram机器人的安全风险
10月31日,据 Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示,此前大火的 Unibot 突然被黑客攻击,并在市场引起热议。
黑客不留情面,在攻击事件爆出之后,依然在进行攻击流程并转移盗取的资产,而此次攻击也导致相关代币一度跌至约 33.02 USDT,24 小时跌幅超 35%。
Unibot 是什么?其实在我们此前的文章里,曾有过介绍:UNIBOT爆火,如何防范Telegram 机器人相关的钓鱼和诈骗?
简单而言, Unibot 是 Telegram 交易机器人,用户可以与机器人交互来监控流动性池子,交易代币和复制他人的交易。
在8月份的时候, $UNIBOT 的市值从 3000 万美元飙升超过1亿美元曾引起市场关注, 类似的交易机器人开始得到市场的关注,但安全问题依然没有得到重视。
比如今天这起安全事件, Beosin 安全团队分析发现 Unibot 被攻击的根本原因在于CAll注入,导致64万美元的损失。
同时 Beosin 提醒用户可在 Revoke上取消授权,避免更多资金损失。链接:https://revoke.cash/
Beosin Trace 对被盗资金进行追踪发现,目前黑客已将被盗资金转入混币器平台 Tornado Cash 进行洗钱。
由 Unibot 被黑看 Telegram 机器人的安全风险
1.中心化
Telegram 机器人的风险与中心化交易所的风险相同。如果用户想要使用 Telegram 机器人, 他们需要将私钥导入这些机器人。在此过程中,其它软件有可能通过粘贴板读取用户的私钥。此外,用户一旦在电报机器人中导入私钥,其加密资产就不再由自己控制。
2.安全风险
大多数 Telegram 机器人不是开源的,也没有第三方的代码审计。 机器人中的潜在漏洞可能会导致资产损失。如果用户的 Telegram 账户受到攻击(针对 Telegram 账户的钓鱼攻击时有发生),那么电报机器人上的资产也会受到黑客的控制。
在 Telegram 机器人热潮期间,有关 Telegram 机器人的钓鱼和诈骗在不断出现。这些机器人声称是自动交易或反抢先交易,诱导用户导入私钥,然后在未经用户许可的情况下转移用户的资金。
合约审计为何这么重要?用户如何做到安全防范?
可以看到智能合约审计在Web3生态系统中具有重要性。比如此前 Beosin 分析过的Banana Gun事件, 也是智能合约出现问题。
智能合约中的漏洞和安全问题可能导致资金损失、数据泄露或合约被操纵。 审计有助于发现和修复这些潜在的漏洞和弱点,确保合约的安全性和可靠性。对合约进行全面审查,可以提前预防潜在的攻击,并确保用户的资金和数据安全。
同时,用户在选择项目时也需要注意:
1. 对项目进行充分调研。用户应当通过项目官网,文档,社区频道,代码审计报告等方面对项目的运行逻辑和潜在风险有足够的了解,避免落入骗局。
2. 及时关注项目的最新进展。用户应通过项目的官方推特,电报群,Discord 群组等方式及时地了解项目的发展状况,以便在最短时间对 Rug Pull,合约漏洞或是黑客攻击做出反应。
3. 在 EagleEye 平台,用户可以平台上输入某一代币的合约地址,EagleEye 会对其合约代码进行检测,并给出相应的风险提醒。