金財經記者Jessy
10月31日,Unibot被攻擊,Unibot官方發佈公告稱:「被攻擊原因是在新路由器中出現了代幣批准的漏洞,由於新路由器的錯誤而造成的任何資金損失都將得到補償;用戶的金鑰和錢包是安全的。”
據了解,這起攻擊事件共造成了超過60萬美元的損失。雖然團隊已經承諾會全部賠付。但這次被攻擊事件卻暴露出來Unibot,乃至Telegram Bot這個種類產品本身存在的問題。
在這次事件中,有專業人士指出,這次攻擊更像是一場有預謀的內鬼行為:因為該合約並未開源,駭客卻輕鬆找到漏洞,以及在Unibot上線一周後,駭客就進行了攻擊部署,為此攻擊蟄伏了半年。
而從這次事件,我們能夠窺見的是,Telegram Bot本身也存在著較大的安全問題,尤其是涉及金錢、交易相關的Bot,其實是對於安全要求很高的,但是卻普遍存在著程式碼未開源、私鑰不是本地化儲存等問題。
Unibot所暴露的普遍問題
Unibot被攻擊,似乎是意料之中的事。業界人其實有共識:不敢把過多的錢放在其中,因為類似的Telegram Bot似乎不安全。
目前加密產業在安全方面基本上形成了兩套發展邏輯和路徑。首先是類似中心化的交易所,那就是採取資產擔保、接受政府監管的方式。大眾的信任還是源自於大企業的聲譽和監管它的政府機構。
另一套路徑則是Defi、自架錢包等去中心化的產品。用被層層審計過的合約和程式碼來盡可能保障使用者的資產安全。當然這條路徑中更重要的是,使用者要自己對自己負責,掌握區塊鏈產業的安全知識。
但Unibot這樣的產品,它其實充當的是一個在Web2和Web3世界中搭橋的工具,而對於一個Web2.5的產品,其安全又該如何保障?
我們先來看Unibot本身在哪些方面做的有缺陷,首先是Unibot的合約本身有問題。同樣在進行Telegram 交易方面的Bot創業的Jerry告訴金色財經,這次的被攻擊事件簡單來說,就是黑客操縱了Unibot的合約,而這個合約本身有用戶的Token授權,於是黑客操縱合約把用戶的Token轉到了他自己的帳戶。
Jerry分析,這個漏洞其實在之前的安全審核上就應該被避免掉的。而該項目應該沒有做過嚴格的審核,在公開的資料上也未看到有合約審計的消息。而且未開源。
在Jerry看來,除了目前暴露出來的問題,Unibot這個產品本身,也存在著不少問題,例如使用者的私鑰安全問題。在使用者使用Unibot時,其私鑰會直接傳送到Telegram的對話框中。稍微有點常識的業界人都明白,私鑰絕對不能公開。
使用者可以理解這個發送到對話框這個行為發生後,Unibot其實能夠掌握使用者的私鑰。如果專案方有意願,專案方就能作惡。
在Jerry看來,為了避免這樣的情況,這些交易機器人應該做到私鑰的在地化儲存。當然也可以理解類Unibot這類的交易機器人這樣的私鑰託管的方式。因為這樣的方式可以進行對話式的交互,用戶交易時體驗會順滑,這就不需要像小狐狸錢包一樣每次交易都需要簽名授權。
如何改進
而面對如上的問題,其實解決的方法並不困難,但對現有的Bot來說,成本卻較高。
例如在使用者的私鑰安全這個方向,應該去實現的就是私鑰的本地化儲存,但是如果現有的Bot專案要這樣做的話,那就需要把所有的使用者進行遷移。據金色財經記者了解,目前,在這一方向,已經有一些團隊在做相關的創業,而因為近日Unibot的被攻擊風波,相關的風投機構也對BOT的安全方面的創業項目表現出了更高的熱情。
而我們把視線放的更寬廣,這種在Web2和Web3之間搭建橋樑的產品,又該如何做來保障用戶的資金、以及個人資料的安全呢?又或者是Telegram本身又該如何做?
梳理Telegram的發展,我們能看到,其實在其過往的實踐中,已經有了一些相應在保障用戶資產安全方面的實踐,比如推出了TON Space的新型自託管錢包。以及在資訊安全上,使用者可以自行選擇對話的端對端的加密。
Telegram上的Bot良莠不齊,甚至還有駭客利用假的Bot來竊取使用者資產的情況。而這次的事件,其實也值得業界人士警醒,在Web2與Web3愈發融合的當下,在資金安全方面,尤其是這種搭建橋樑的工具,我們更需要的是Web2和Web3交融的方法來保障。例如Telegram本身其實應該起到一定的監管和用戶舉報後的懲罰作用,而作為一個和區塊鏈行業結合的項目,本身就應該盡可能做到合約審計,代碼開源等等。
隨著產業的發展,這種”搭橋”產品的各種問題該如何解決肯定也會發展出產業的共識。