黑客突然下手 由Unibot被黑看Telegram机器人的安全风险
10月31日,据 Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示,此前大火的 Unibot 突然被黑客攻击,并在市场引起热议。
EagleEye 攻击相关地址:
https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04
黑客不留情面,在攻击事件爆出之后,依然在进行攻击流程并转移盗取的资产,而此次攻击也导致相关代币一度跌至约 33.02 USDT,24 小时跌幅超 35%。
Unibot 是什么?其实在我们此前的文章里,曾有过介绍:UNIBOT爆火,如何防范Telegram 机器人相关的钓鱼和诈骗?
简单而言,Unibot 是 Telegram 交易机器人,用户可以与机器人交互来监控流动性池子,交易代币和复制他人的交易。
在8月份的时候, $UNIBOT 的市值从 3000 万美元飙升超过1亿美元曾引起市场关注,类似的交易机器人开始得到市场的关注,但安全问题依然没有得到重视。
比如今天这起安全事件,Beosin 安全团队分析发现 Unibot 被攻击的根本原因在于CAll注入,导致64万美元的损失。
同时 Beosin 提醒用户可在 Revoke上取消授权,避免更多资金损失。链接:https://revoke.cash/
Beosin Trace 对被盗资金进行追踪发现,目前黑客已将被盗资金转入混币器平台 Tornado Cash 进行洗钱。
由 Unibot 被黑看 Telegram 机器人的安全风险
1.中心化
Telegram 机器人的风险与中心化交易所的风险相同。如果用户想要使用 Telegram 机器人,他们需要将私钥导入这些机器人。在此过程中,其它软件有可能通过粘贴板读取用户的私钥。此外,用户一旦在电报机器人中导入私钥,其加密资产就不再由自己控制。
2.安全风险
大多数 Telegram 机器人不是开源的,也没有第三方的代码审计。机器人中的潜在漏洞可能会导致资产损失。如果用户的 Telegram 账户受到攻击(针对 Telegram 账户的钓鱼攻击时有发生),那么电报机器人上的资产也会受到黑客的控制。
在 Telegram 机器人热潮期间,有关 Telegram 机器人的钓鱼和诈骗在不断出现。这些机器人声称是自动交易或反抢先交易,诱导用户导入私钥,然后在未经用户许可的情况下转移用户的资金。
合约审计为何这么重要?用户如何做到安全防范?
可以看到智能合约审计在Web3生态系统中具有重要性。比如此前 Beosin 分析过的Banana Gun事件,也是智能合约出现问题。
智能合约中的漏洞和安全问题可能导致资金损失、数据泄露或合约被操纵。审计有助于发现和修复这些潜在的漏洞和弱点,确保合约的安全性和可靠性。对合约进行全面审查,可以提前预防潜在的攻击,并确保用户的资金和数据安全。
同时,用户在选择项目时也需要注意:
1. 对项目进行充分调研。用户应当通过项目官网,文档,社区频道,代码审计报告等方面对项目的运行逻辑和潜在风险有足够的了解,避免落入骗局。
2. 及时关注项目的最新进展。用户应通过项目的官方推特,电报群,Discord 群组等方式及时地了解项目的发展状况,以便在最短时间对 Rug Pull,合约漏洞或是黑客攻击做出反应。
3. 在 EagleEye 平台,用户可以平台上输入某一代币的合约地址,EagleEye 会对其合约代码进行检测,并给出相应的风险提醒。
- 1第67期 | 产业区块链一周快讯速览
- 2下周必关注|BounceBit将上线主网并空投代币;LayerZero将公布官方女巫检查结果(5.13-5.19)
- 3星球日报 | FTX债权人团体代表坚持实物赔偿;Robinhood Q1加密货币名义交易量同比增长224%至360亿美元(5月9日)
- 475亿,软银、微软、英伟达出手,自动驾驶赛道最大融资诞生
- 5特朗普要「让 NFT 再次伟大」,加密货币正成为美国大选重要议题
- 6MIIX Capital:日本加密市场全景报告
- 7DatologyAI 完成 5000 万美元 A 轮融资,投资者包括微软、Amplify、Radical、Elad Gil
- 8Ton生态风起,一文速览14个新一轮基金会Grant项目
- 9欧洲“OpenAI”叒融资6亿刀,成立1年估值60亿刀,他们只做了一件事