撰文:秦晓峰,Odaily 星球日报
今天下午,多位社区成员反应,Telegram Bot 项目 Unibot 遭遇攻击。根据 Scopescan 监测,攻击者从 Unibot 用户处转移代币,并正在将其兑换成 ETH,目前损失已超过 60 万美元。
消息一出,代币 UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40% ,目前暂报 39.5 USDT。
安全公司:尽快取消授权
安全机构 BlockSecTeam 分析认为,由于代码未开源,怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证,从而允许任意调用。因此,攻击者可以调用「transferFrom」来转出合约中批准的代币。BlockSecTeam 提醒用户,尽快撤销合约批准,并将资金转移到新钱包。
Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于 CAll 注入,攻击者可以将自定义的恶意调用数据传递到 0xb2bd16ab 合约中,从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。攻击相关地址如下:https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04
黑客蛰伏半年进行攻击
本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据 Scopescan 监测,黑客在 Unibot 启动一周后,从 FixedFloat(混币器)收到 1 枚 ETH 做为此次攻击的 Gas,此后半年再没有相关动作,直到今日进行攻击。
不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。
链上信息显示,黑客钱包地址目前剩余资产约 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下
另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到 20, 789 个的 USDC,花了 1000 美元购买了 SMilk,剩余价值 19, 789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以 2, 194 美元的价格卖出 SMilk,赚了 1, 194 美元(收益率 120% );一个小时后,最后剩下的 2194 美元的 USDC 又被偷了。
路由器出现漏洞,攻击仍在持续
Unibot 官方发布公告称,本次攻击主要是新的路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该漏洞造成的任何资金损失都将得到补偿,Unibot 将在调查结束后发布详细答复。
社区用户@tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0x126 Router 获得批准的 addys 处获取资金,用户资金仍存在风险。
BOT 产品安全存疑
Unibot 是一款流行的新型 Telegram Bot,允许用户无需离开 Telegram 应用即可交易加密货币货币。 该机器人易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于 DEX 的限价订单以及针对 MEV 机器人的防护。
根据 CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二; Maestro 排名第一,累计收益 1.32 万枚 ETH; Banana Gun 排名第三,收益为 1940 枚 ETH。
不过,BOT 产品也存在较大安全隐患,特别是最近 Maestro 合约也出现同样的路由器漏洞,损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 ( https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e… ) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。