元宇宙非小号金色财经交流群社区官网

Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

Time:2023-10-31 Click:103


原创 | Odaily星球日报

作者 | 秦晓峰

Unibot遭攻击损失超50万美元TGBOT安全性遭受质疑

今天下午,多位社区成员反应,Telegram Bot 项目 

Unibot

 遭遇攻击。根据 Scopescan 监测,攻击者从 Unibot 用户处转移代币,并正在将其兑换成 ETH,目前损失已超过 100 万美元。

消息一出,代币 

UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40% ,目前暂报 39.5 USDT。

Unibot遭攻击损失超50万美元TGBOT安全性遭受质疑

安全公司:尽快取消授权

安全机构 

BlockSecTeam 分析认为,由于代码未开源,怀疑是

0x126c

合约中的函数

0xb2bd16ab

缺乏输入验证,从而允许任意调用。因此,攻击者可以调用“transferFrom”来转出合约中批准的代币。BlockSecTeam 提醒用户,

尽快撤销合约批准,

并将资金转移到新钱包

Unibot遭攻击损失超50万美元TGBOT安全性遭受质疑

Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于 CAll 注入,攻击者可以将自定义的恶意调用数据传递到

0xb2bd16ab

合约中,从而转移获得 Unibot 合约批准的代币。

Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。

攻击相关地址如下:

https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04

黑客蛰伏半年进行攻击

本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据 Scopescan 监测,黑客在 Unibot 启动一周后,从 FixedFloat(混币器)收到 1 枚 ETH 做为此次攻击的 Gas,此后半年再没有相关动作,直到今日进行攻击。

不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。

链上信息显示,黑客钱包地址今日共计收入资产总价值 128 万美元(即用户损失),目前剩余 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下

Unibot遭攻击损失超50万美元TGBOT安全性遭受质疑

另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到 

20, 789 个的 USDC,花了 1000 美元购买了 SMilk,剩余

价值 19, 789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以 

2, 194 美元的价格卖出 SMilk,赚了 1, 194 美元(收益率 120% );

一个小时后,最后剩下的 2194  美元的 USDC 又被偷了。

Unibot 官方发布公告称,本次攻击主要是新的

路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该

漏洞造成的任何资金损失都将得到补偿,Unibot

将在调查结束后发布详细答复。

Unibot遭攻击损失超50万美元TGBOT安全性遭受质疑

社区用户@tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0x 126

Router

获得批准的 addys 处获取资金,用户资金仍存在风险。

Scopescan 也发文表示,出现了新的 Unibot 攻击者,部署了与此前攻击者相同的合约,正在盗取用户资金。

BOT

 产品安全存疑

Unibot 是一款流行的新型 Telegram Bot,允许用户无需离开 Telegram 应用即可交易加密货币货币。 该机器人易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于 DEX 的限价订单以及针对 MEV 机器人的防护。

根据 

CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二;

Maestro

排名第一,累计收益 1.32 万枚 ETH;

Banana Gun

排名第三,收益为 1940 枚 ETH。

不过,BOT 产品也存在较大安全隐患,特别是最近 Maestro 

合约也出现同样的路由器漏洞,损失

约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 (

https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e…

) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。

标签:美元

  • 500美元投资PEPE、SHIB、DOGE币,将16美元变100美元,1

    500美元投资PEPE、SHIB、DOGE币,将16美元变100美元,1

    T:

    想象一下,如果您投资了500美元模因硬币像PEPE或者弗洛基当比特币价格为6万美元时。虽然比特币需要达到12万美元才能获得100%的利润,但这些模因币在短时间内将16美元变成100美元,将10美元变成200美元。...

  • Google Bard 预测 Shiba Inu 何时会达到 0.000

    Google Bard 预测 Shiba Inu 何时会达到 0.000

    T:

    发表于2023年12月23日当一些投资者继续想知道ShibaInu(SHIB)能涨到多高时,谷歌的人工智能聊天机器人GoogleBard预测其价格何时会达到000001美元、0001美元、001美元或01美元。...

    币圈相关新闻
本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All