今(31)日下午,多位TelegramBot社群成员反应,TelegramBot专案Unibot遭遇攻击。消息一出,代币UNIBOT从55USDT最低跌至33USDT,最大跌幅40%,目前暂报39.5USDT。根据Scopescan监控,攻击者从Unibot用户处转移代币,并正在将其兑换成ETH,目前损失已超过60万美元。保全公司:TelegramBot尽快取消授权安全机构BlockSecTeam分析认为,由于程式码未开源,怀疑是0x126c合约中的函数0xb2bd16ab缺乏输入验证,从而允许任意呼叫。
因此,攻击者可以调用「transferFrom」来转出合约中批准的代币。BlockSecTeam提醒用户,尽快撤销合约批准,并将资金转移到新钱包。Beosin安全团队分析认为,Unibot被攻击的根本原因在于CAll注入,攻击者可以将自订的恶意呼叫资料传递到0xb2bd16ab合约中,从而转移获得Unibot合约批准的代币。BeosinTrace正在对被盗资金进行追踪,同时Beosin提醒用户可在Revoke上取消钱包授权。
骇客蛰伏半年进行攻击这次Unibot一个蹊跷点在于,骇客地址从今年5月Unibot合约部署后就进行蹲守。根据Scopescan监测,骇客在Unibot启动一周后,从FixedFloat(混币器)收到1枚ETH做为此次攻击的Gas,此后半年再没有相关动作,直到今日进行攻击。不少加密社群用户猜测,这次攻击可能是Unibot内部人士作恶,因为事故发生时间非常巧合,正好是Unibot更换新合约后的窗口期(两天前才升级的新合约),骇客轻易地找到了合约漏洞。链上资讯显示,骇客钱包地址目前剩余资产约63万美元,剩余资产占最多的是ETH,约57.3万美元,其他被盗资产涉及币种情况如下:另外根据Lookonchain监测,本次攻击事件中一名使用者先后两次资产被窃。
该用户帐户最初收到20,789个的USDC,花了1000美元购买了SMilk,剩余价值19,789美元的USDC被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以2,194美元的价格卖出SMilk,赚了1,194美元(收益率120%);一个小时后,最后剩下的2194美元的USDC又被偷了。路由器出现漏洞,攻击仍在持续Unibot官方发布公告称,这次攻击主要是新的路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该漏洞造成的任何资金损失都将得到补偿,Unibot将在调查结束后发布详细答。社群用户@tomkysar表示,针对Unibot的攻击仍在持续,两个攻击者地址似乎仍然能够从0x126Router获得批准的addys处获取资金,用户资金仍存在风险。
BOT机器人骇客产品安全存疑Unibot是一款受欢迎的新型TelegramBot,让用户无需离开Telegram应用程式即可交易加密货币货币。该机器人骇客易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于DEX的限价订单以及针对MEV机器人骇客防护。根据CoinGecko数据,UniBOT自成立至今,收益为8950枚ETH,位列所有BOT产品第二;Maestro排名第一,累计收益1.32万枚ETH;BananaGun排名第三,收益为1940枚ETH。不过,BOT产品也存在较大安全隐患,特别是最近Maestro合约也出现同样的路由器漏洞,损失约281ETH——该漏洞允许攻击者转移其路由器2合约上已获得批准的任何代币。最终,Maestro选择赔付用户部分损失。