Unibot遭攻击损失超60万美元,TG BOT安全性存疑
官方承诺赔偿用户损失。
原文作者:秦晓峰
今天下午,多位社区成员反应,Telegram Bot 项目 Unibot 遭遇攻击。根据 Scopescan 监测,攻击者从 Unibot 用户处转移代币,并正在将其兑换成 ETH,目前损失已超过 60 万美元。
消息一出,代币 UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40% ,目前暂报 39.5 USDT。
安全公司:尽快取消授权
安全机构 BlockSecTeam 分析认为,由于代码未开源,怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证,从而允许任意调用。因此,攻击者可以调用“transferFrom”来转出合约中批准的代币。BlockSecTeam 提醒用户,尽快撤销合约批准,并将资金转移到新钱包。
Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于 CAll 注入,攻击者可以将自定义的恶意调用数据传递到 0xb2bd16ab合约中,从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。攻击相关地址如下:https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04
黑客蛰伏半年进行攻击
本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据 Scopescan 监测,黑客在 Unibot 启动一周后,从 FixedFloat(混币器)收到 1 枚 ETH 做为此次攻击的 Gas,此后半年再没有相关动作,直到今日进行攻击。
不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。
链上信息显示,黑客钱包地址目前剩余资产约 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下
另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到 20, 789 个的 USDC,花了 1000 美元购买了 SMilk,剩余价值 19, 789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以 2, 194 美元的价格卖出 SMilk,赚了 1, 194 美元(收益率 120% );一个小时后,最后剩下的 2194 美元的 USDC 又被偷了。
路由器出现漏洞,攻击仍在持续
Unibot 官方发布公告称,本次攻击主要是新的路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该漏洞造成的任何资金损失都将得到补偿,Unibot 将在调查结束后发布详细答复。
社区用户@tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0×126 Router 获得批准的 addys 处获取资金,用户资金仍存在风险。
BOT 产品安全存疑
Unibot 是一款流行的新型 Telegram Bot,允许用户无需离开 Telegram 应用即可交易加密货币货币。 该机器人易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于 DEX 的限价订单以及针对 MEV 机器人的防护。
根据 CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二; Maestro 排名第一,累计收益 1.32 万枚 ETH; Banana Gun 排名第三,收益为 1940 枚 ETH。
不过,BOT 产品也存在较大安全隐患,特别是最近 Maestro 合约也出现同样的路由器漏洞,损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 ( https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e… ) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。
比推快讯
更多 >>- 今日美国9只现货比特币ETF总计减持2350枚BTC,价值约 1.4亿美元
- LayerZero:将在两小时内将发布一项公告
- 盗走1155枚WBTC的地址正在将代币兑换成ETH
- 数据:约74%的BTC在过去6个月未发生移动
- Coinbase:比特币近期走势更多地与全球市场有关
- CFTC专员:在区块链生态中部署AI给监管、风险管理、合规性等带来新的问题
- 美联储理事Michelle Bowman:仍预计利率维持在当前水平
- 两家香港资管公司持有1.12亿美元的美国现货比特币ETF
- BTC突破62000美元
- Terraform 律师反驳 SEC,称代币销售大部分发生在美国境外
- Coinbase 第一季度营收 16 亿美元,较上一季度增长 72%
- Block:拟每月将比特币产品毛利润的 10% 用于投资 BTC
- Tether与Chainalysis 合作开发用于监控二级市场活动的可定制解决方案
- 价值超7600万美元ETH从未知钱包转移到Coinbase Institutional
比推专栏
更多 >>- 每月动态 | Web3 安全事件总损失约 9081 万美元
- 脱水大字报:牛市行情或延迟类似2016年
- 矿工日收入突破亿创纪录,比特币符文能否接力铭文?
- 获比特大陆投资且被币安首个接入的BTC L2项目BEVM有何亮点?
- 为什么这轮牛市无法复制 2021 年的山寨季?
- 独家!种子轮融资200万美金+AI叙事的项目
- IOSG Weekly Brief|MKR的涅槃重生:新公链和RWA稳定币与Spark借贷独角兽 #223
- Kusama 上的 Coretime 交易已开始,平行链时代谢幕
- 100亿美元开发投资,红杉资本入局,特斯拉要搞波大的…
- Chainlink Q1产品更新;CCIP正式进入全面可用阶段;Consensus2024来啦|Chainlink 周报
观点
项目
比推热门文章
- 盗走1155枚WBTC的地址正在将代币兑换成ETH
- 数据:约74%的BTC在过去6个月未发生移动
- Coinbase:比特币近期走势更多地与全球市场有关
- Web3内容老将Mirror被收购,解读其转型历程及新社交产品Kiosk
- CFTC专员:在区块链生态中部署AI给监管、风险管理、合规性等带来新的问题
- 美联储理事Michelle Bowman:仍预计利率维持在当前水平
- 两家香港资管公司持有1.12亿美元的美国现货比特币ETF
- BTC突破62000美元
- 【比推每日新闻精选】Block拟每月将比特币产品毛利润的 10% 用于投资 BTC;Coinbase 第一季度营收 16 亿美元,较上一季度增长 72%;Jito 成为 Solana 上TVL最大的协议, 达 14 亿美元
- Terraform 律师反驳 SEC,称代币销售大部分发生在美国境外