10月31日,據Beosin 旗下 EagleEye 安全風險監控、預警與阻斷平台監測顯示,此前大火的Unibot 突然被駭客攻擊,並在市場引起熱議。
EagleEye 攻擊相關地址:
https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04
駭客不留情面,在攻擊事件爆出之後,依然在進行攻擊流程並轉移盜取的資產,而此次攻擊也導致相關代幣一度跌至約33.02 USDT,24 小時跌幅超 35%。
Unibot 是什麼?其實在我們先前的文章裡,曾有介紹:UNIBOT爆火,如何防範Telegram 機器人相關的釣魚和詐騙?
簡單而言,Unibot 是Telegram 交易機器人,用戶可以與機器人互動來監控流動性池子,交易代幣和複製他人的交易。
在8月的時候, $UNIBOT 的市值從3,000 萬美元飆升超過1億美元曾引起市場關注,類似的交易機器人開始得到市場的關注,但安全問題依然沒有受到重視。
例如今天這起安全事件,Beosin 安全團隊分析發現Unibot 被攻擊的根本原因在於CAll注入,導致64萬美元的損失。
同時Beosin 提醒用戶可在Revoke取消授權,避免更多資金損失。連結:https://revoke.cash/
Beosin Trace 對被盜資金進行追蹤發現,目前駭客已將被盜資金轉入混幣器平台 Tornado Cash 進行洗錢。
由Unibot 被駭看Telegram 機器人的安全風險
1.中心化
Telegram 機器人的風險與中心化交易所的風險相同。如果使用者想要使用Telegram 機器人,他們需要將私鑰匯入這些機器人。在此過程中,其它軟體有可能透過貼板讀取用戶的私鑰。此外,用戶一旦在電報機器人中匯入私鑰,其加密資產就不再由自己控制。
2.安全風險
大多數Telegram 機器人不是開源的,也沒有第三方的程式碼審計。機器人中的潛在漏洞可能會導致資產損失。如果用戶的Telegram 帳戶受到攻擊(針對Telegram 帳戶的釣魚攻擊時有發生),那麼電報機器人上的資產也會受到駭客的控制。
在Telegram 機器人熱潮期間,有關Telegram 機器人的釣魚和詐騙不斷出現。這些機器人聲稱是自動交易或反搶先交易,誘導用戶匯入私鑰,然後在未經用戶許可的情況下轉移用戶的資金。
合約審計為何這麼重要?使用者如何做到安全防範?
可以看到智能合約審計在Web3生態系統中具有重要性。例如先前Beosin 分析過的Banana Gun事件,也是智能合約出現問題。
智能合約中的漏洞和安全問題可能導致資金損失、資料外洩或合約被操縱。審計有助於發現和修復這些潛在的漏洞和弱點,確保合約的安全性和可靠性。對合約進行全面審查,可以提前預防潛在的攻擊,並確保用戶的資金和資料安全。
同時,使用者在選擇項目時也需要注意:
1. 對專案進行充分調查。使用者應通過專案官網,文檔,社區頻道,程式碼審計報告等方面對專案的運作邏輯和潛在風險有足夠的了解,避免落入騙局。
2. 及時關注專案的最新進展。使用者應透過專案的官方推特,電報群,Discord 群組等方式及時了解專案的發展狀況,以便在最短時間對Rug Pull,合約漏洞或是駭客攻擊做出反應。
3. 在EagleEye 平台,使用者可以平台上輸入某一代幣的合約地址,EagleEye 會對其合約程式碼進行偵測,並給予對應的風險提醒。