Pada 12:39:23 pada tanggal 31 Oktober 2023, waktu Beijing, Unibot dieksploitasi dengan jahat dan kehilangan aset $640,000. Penyerang mengeksploitasi kerentanan "panggilan sewenang-wenang" dalam kontrak router Unibot untuk mentransfer berbagai token senilai $ 640.000 pra-otorisasi ke kontrak perutean atas nama mereka sendiri.
Pertama-tama mari kita lihat analisis kerentanan dan proses serangan dari insiden ini.
Fungsi 0xb2bd16ab() tidak memeriksa parameter input dengan benar, khususnya g0 dan g4, yang digunakan untuk memanggil kontrak token eksternal secara sewenang-wenang dan menjalankan metode 'transferFrom()'.
Serangan dimulai pada 12:39:23 waktu Beijing pada tanggal 31 dan berlangsung hingga 14:09:47 pada tanggal 31. Selama waktu ini, penyerang mengeksekusi 22 transaksi serangan, memanggil metode "0x5456a7bf()" pada kontrak serangan, yang berulang kali disebut metode "0xb2bd16ab()" dalam kontrak router Unibot untuk mentransfer berbagai token dari alamat korban ke akun mereka sendiri.
Secara total, 42 token ditransfer dari 364 alamat korban melalui router ke penyerang, yang kemudian dijual oleh para pengeksploitasi dengan total 355,5 ETH (sekitar $ 640.000).
Tim Unibot kemudian merespons dengan menerapkan kontrak router baru. Di akun X resmi mereka, mereka juga mengumumkan rencana kompensasi untuk semua korban. Semua 355,5 ETH telah ditransfer ke Tornado.Cash.
Telegram Boo
Serangan ini sangat mirip dengan insiden Maestrobot sebelumnya. Pada tanggal 25 Oktober, CertiK mengeluarkan peringatan pada platform X bahwa kontrak router Maestro Bots dari proyek bot Telegram diserang, mengakibatkan kerugian sekitar $ 500.000.
Bot Telegram adalah bidang yang muncul di dunia Web 3.0, yang memungkinkan pengguna untuk melakukan berbagai operasi DeFi melalui antarmuka Telegram sambil mengintegrasikan token ke dalamnya. Namun, perbedaan antara inovasi asli dan ilusi yang membingungkan menjadi semakin kompleks.
Tim keamanan CertiK melakukan studi terhadap 61 proyek pada daftar token bot Telegram CoinGecko dan menemukan bahwa hampir 40% proyek diduga tidak aktif, berpotensi curang, atau berisiko tidak pulih dari aksi jual besar. Mekanisme perdagangan platform ini tidak diragukan lagi inovatif, tetapi banyak yang tidak memiliki detail teknis utama, terutama informasi tentang pengelolaan kunci pribadi di dompet dalam aplikasi. Kami menyarankan agar pengguna sangat berhati-hati saat beroperasi di platform ini, meminimalkan interaksi dengan mereka, dan menghindari menyimpan aset untuk jangka waktu yang lama.
Pelajari tentang bot Telegram dan tokennya
Telegram bot adalah program otomatis yang berjalan melalui program obrolan Telegram. Mereka dapat melakukan transaksi, memberikan data pasar kepada pengguna, menilai sentimen di media sosial, dan berinteraksi dengan kontrak pintar melalui perintah yang dijalankan yang diprakarsai oleh antarmuka Telegram. Jenis bot ini telah ada selama bertahun-tahun, tetapi dalam beberapa tahun terakhir mereka telah mendapatkan daya tarik dengan munculnya token bot Telegram.
Token bot Telegram adalah token asli yang terintegrasi ke dalam bot Telegram dan terutama digunakan untuk fungsi perdagangan yang beragam seperti mengeksekusi transaksi DEX, mengelola portofolio di seluruh dompet, yield farming, dan kemungkinan operasi lain yang terkait dengan DeFi. Token ini pada dasarnya memungkinkan pengguna untuk terhubung ke seluruh DeFi hanya dengan berinteraksi dengan antarmuka Telegram. Jika program-program ini dapat tetap aman dan berjalan dengan baik untuk waktu yang lama, itu dapat berdampak signifikan pada aksesibilitas DeFi secara keseluruhan. **
Setelah 20 Juli tahun ini, popularitas token ini telah meningkat secara dramatis, dengan beberapa bahkan meningkat lebih dari 1.000%. Tren ini mencerminkan hiruk-pikuk siklus yang umum di komunitas Web 3.0, didorong oleh resonansi naratif komunitas uang Web 3.0 di Platform X (sebelumnya Twitter).
Terutama setelah Unibot menjadi terkenal, sejumlah besar TBT muncul. Pada 3 Agustus 2023, kolom token bot CoinGecko telah mencantumkan 61 sistem tersebut.
Melintasi Persimpangan Narasi
TBT (Telegram Bot Token) menempati posisi unik di ruang Web 3.0. Di Platform X (sebelumnya Twitter), penggemar mata uang Web 3.0 sering mendiskusikannya sebagai token utilitas. Sebelumnya, istilah "utilitas" telah dikaitkan dengan meta-narasi di ruang moneter Web 3.0, sering melibatkan cerita industri khusus seperti kecerdasan buatan, fintech, logistik, transaksi lintas batas, dll. TBT awalnya dikembangkan bersama dengan narasi "utilitarian" untuk mendesentralisasikan dan menyempurnakan aktivitas perdagangan melalui antarmuka pengguna yang inovatif. Namun, TBT sebenarnya telah melampaui meta-narasi utilitas tunggal dan menemukan resonansi dalam berbagai narasi meme dan non-meme.
Pada saat yang sama, ketika narasi TBT berkembang, ada hype siklus seputar token meme mini-game, terutama proyek yang disebut "$HAMS". $HAMS adalah token meme berumur pendek yang memungkinkan pengguna memasang taruhan pada pertandingan hamster langsung. Namun, $HAMS itu meninggal tak lama setelah peluncuran karena tuduhan oleh anggota masyarakat bahwa operator menggunakan kembali rekaman video hamster. Ini telah memunculkan berbagai token peringatan game lainnya, juga dikenal sebagai TBT. Salah satu token disebut "$TETRIS", di mana pengguna dapat berjudi dan berpartisipasi dalam balapan Tetris antar pemain. Hubungan antara token peringatan permainan tertentu dibentuk melalui penyebutan secara luas di platform X.
Contoh lain dari persimpangan narasi TBT melibatkan PAAL AI. Meskipun ini bukan meme khusus, proyek ini telah mengembangkan chatbot Telegram seperti ChatGPT. Token dan struktur proyek juga mirip dengan struktur TBT lainnya. Anehnya, proyek ini tampaknya tidak membuat chatbot Telegram, melainkan menyediakan antarmuka web seperti ChatGPT. Namun, bot dapat diintegrasikan ke dalam saluran Telegram pribadi pengguna melalui API.
Tak lama setelah rilis Unibot, CoinGecko meluncurkan daftar TBT terperincinya. Daftar ini awalnya dirilis sekitar 20 Juli dan berisi sekitar 30 token. Hanya dalam beberapa minggu, jumlah itu membengkak menjadi 61. Kami telah menganalisis daftar ini menggunakan berbagai metode, termasuk kombinasi indikator seperti momentum harga, dinamika likuiditas, dan aktivitas perdagangan, dan mengkategorikannya menurut apakah mereka cenderung mati atau apakah mereka masih aktif berdagang. Pada bulan Agustus, distribusi ditunjukkan pada diagram batang di bawah ini:
Dari 61 proyek ini, kami mengklasifikasikan 37 sebagai aktif dan 24 sebagai almarhum atau mungkin almarhum. Proyek-proyek ini turun lebih dari 85%, memiliki sedikit atau tidak ada likuiditas di kolam mereka, dan tidak memiliki aktivitas, atau kemungkinan akan keluar dari penipuan. Artinya, hampir 40% item dalam kategori ini telah mati atau tidak mungkin pulih.
Perlu disebutkan bahwa dompet yang disediakan saat mendaftarkan akun bot Telegram dibuat secara otomatis, sedangkan kunci pribadi disediakan nanti. Unibot tidak menentukan bagaimana atau di mana kunci pribadi ini disimpan, baik secara lokal atau di latar belakang server. Ini berarti sangat berbahaya menggunakan bot Telegram ini untuk berdagang dan menyimpan dana. **
Proyek tanpa integrasi Telegram
Dalam perjalanan penelitian kami, kami menemukan bahwa beberapa proyek yang terdaftar sebagai TBT tidak mengintegrasikan token mereka ke Telegram atau tidak memiliki bot perdagangan Telegram, tetapi hanya saluran komunitas Telegram biasa. Beberapa proyek memiliki DApps eksternal dengan fungsi yang sama dengan Unibot, sementara yang lain memiliki peta jalan yang menunjukkan bahwa integrasi Telegram akan diterapkan di masa depan.
Proyek lain tidak memiliki fitur ini, tetapi kehadiran mereka di daftar ini mungkin menunjukkan narasi silang yang kami sebutkan sebelumnya. **Proyek-proyek ini dapat mengiklankan diri sebagai proyek tipe TBT ketika mengirimkan aplikasi mereka ke CoinGecko dan menunjukkan tujuan integrasi atau akan diintegrasikan di masa depan. Kami telah melihat bagaimana hype naratif dapat memperkuat kategori token tertentu, dengan beberapa bahkan ada sebagai "meme", bahkan jika proyek tersebut sebenarnya tidak ada hubungannya dengan kelas yang ditugaskan kepadanya. Menurut analisis kami, dampak dari hype naratif semacam ini sangat besar sehingga sebagian dapat menjelaskan perbedaan ini.
Tulis di akhir
Setiap kali narasi baru menjadi populer di komunitas mata uang digital, akan ada sejumlah besar proyek serupa yang terus dirilis di bawah narasi yang sama, banyak di antaranya adalah penipuan keluar atau upaya untuk mencuri aset investor, dan TBT tidak terkecuali dalam hal ini.
Pengembangan TBT bisa menjadi inovasi unik bagi komunitas DeFi. Meskipun kegunaan token ini tidak jelas, kemunculan platform serupa menawarkan investor cara baru untuk mengumpulkan data ke dalam strategi perdagangan mereka. Namun, pengguna harus ekstra hati-hati dengan platform ini. **
Di bidang TBT, proyek ada dalam bentuk meme, dan nilainya bisa hilang dalam semalam, yang mengharuskan kita untuk mempertahankan sikap partisipasi yang hati-hati dan terinformasi. Banyak proyek tidak memberi pengguna dokumentasi yang jelas tentang di mana dan bagaimana kunci dompet mereka disimpan, jadi ada risiko besar yang tidak diketahui.
Pengguna tidak boleh mempertimbangkan untuk menggunakan platform ini untuk penyimpanan. Pengguna juga harus berhati-hati saat menautkan dompet eksternal ke platform ini, atau berinteraksi dengan situs web yang dihasilkan oleh barang-barang ini.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Proyek Bot Telegram Dieksploitasi Lagi: Analisis Insiden Serangan Unibot
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-38482a25a6-dd1a6f-cd5cc0.webp)
Pada 12:39:23 pada tanggal 31 Oktober 2023, waktu Beijing, Unibot dieksploitasi dengan jahat dan kehilangan aset $640,000. Penyerang mengeksploitasi kerentanan "panggilan sewenang-wenang" dalam kontrak router Unibot untuk mentransfer berbagai token senilai $ 640.000 pra-otorisasi ke kontrak perutean atas nama mereka sendiri.
Pertama-tama mari kita lihat analisis kerentanan dan proses serangan dari insiden ini.
Analisis Kerentanan
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f3b6dc1c2f-dd1a6f-cd5cc0.webp)
Fungsi 0xb2bd16ab() tidak memeriksa parameter input dengan benar, khususnya g0 dan g4, yang digunakan untuk memanggil kontrak token eksternal secara sewenang-wenang dan menjalankan metode 'transferFrom()'.
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5d817a19ef-dd1a6f-cd5cc0.webp)
Proses Serangan
Serangan dimulai pada 12:39:23 waktu Beijing pada tanggal 31 dan berlangsung hingga 14:09:47 pada tanggal 31. Selama waktu ini, penyerang mengeksekusi 22 transaksi serangan, memanggil metode "0x5456a7bf()" pada kontrak serangan, yang berulang kali disebut metode "0xb2bd16ab()" dalam kontrak router Unibot untuk mentransfer berbagai token dari alamat korban ke akun mereka sendiri.
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-87f369b5c6-dd1a6f-cd5cc0.webp)
Secara total, 42 token ditransfer dari 364 alamat korban melalui router ke penyerang, yang kemudian dijual oleh para pengeksploitasi dengan total 355,5 ETH (sekitar $ 640.000).
Tim Unibot kemudian merespons dengan menerapkan kontrak router baru. Di akun X resmi mereka, mereka juga mengumumkan rencana kompensasi untuk semua korban. Semua 355,5 ETH telah ditransfer ke Tornado.Cash.
Telegram Boo
Serangan ini sangat mirip dengan insiden Maestrobot sebelumnya. Pada tanggal 25 Oktober, CertiK mengeluarkan peringatan pada platform X bahwa kontrak router Maestro Bots dari proyek bot Telegram diserang, mengakibatkan kerugian sekitar $ 500.000.
Bot Telegram adalah bidang yang muncul di dunia Web 3.0, yang memungkinkan pengguna untuk melakukan berbagai operasi DeFi melalui antarmuka Telegram sambil mengintegrasikan token ke dalamnya. Namun, perbedaan antara inovasi asli dan ilusi yang membingungkan menjadi semakin kompleks.
Tim keamanan CertiK melakukan studi terhadap 61 proyek pada daftar token bot Telegram CoinGecko dan menemukan bahwa hampir 40% proyek diduga tidak aktif, berpotensi curang, atau berisiko tidak pulih dari aksi jual besar. Mekanisme perdagangan platform ini tidak diragukan lagi inovatif, tetapi banyak yang tidak memiliki detail teknis utama, terutama informasi tentang pengelolaan kunci pribadi di dompet dalam aplikasi. Kami menyarankan agar pengguna sangat berhati-hati saat beroperasi di platform ini, meminimalkan interaksi dengan mereka, dan menghindari menyimpan aset untuk jangka waktu yang lama.
Pelajari tentang bot Telegram dan tokennya
Telegram bot adalah program otomatis yang berjalan melalui program obrolan Telegram. Mereka dapat melakukan transaksi, memberikan data pasar kepada pengguna, menilai sentimen di media sosial, dan berinteraksi dengan kontrak pintar melalui perintah yang dijalankan yang diprakarsai oleh antarmuka Telegram. Jenis bot ini telah ada selama bertahun-tahun, tetapi dalam beberapa tahun terakhir mereka telah mendapatkan daya tarik dengan munculnya token bot Telegram.
Token bot Telegram adalah token asli yang terintegrasi ke dalam bot Telegram dan terutama digunakan untuk fungsi perdagangan yang beragam seperti mengeksekusi transaksi DEX, mengelola portofolio di seluruh dompet, yield farming, dan kemungkinan operasi lain yang terkait dengan DeFi. Token ini pada dasarnya memungkinkan pengguna untuk terhubung ke seluruh DeFi hanya dengan berinteraksi dengan antarmuka Telegram. Jika program-program ini dapat tetap aman dan berjalan dengan baik untuk waktu yang lama, itu dapat berdampak signifikan pada aksesibilitas DeFi secara keseluruhan. **
Setelah 20 Juli tahun ini, popularitas token ini telah meningkat secara dramatis, dengan beberapa bahkan meningkat lebih dari 1.000%. Tren ini mencerminkan hiruk-pikuk siklus yang umum di komunitas Web 3.0, didorong oleh resonansi naratif komunitas uang Web 3.0 di Platform X (sebelumnya Twitter).
Terutama setelah Unibot menjadi terkenal, sejumlah besar TBT muncul. Pada 3 Agustus 2023, kolom token bot CoinGecko telah mencantumkan 61 sistem tersebut.
Melintasi Persimpangan Narasi
TBT (Telegram Bot Token) menempati posisi unik di ruang Web 3.0. Di Platform X (sebelumnya Twitter), penggemar mata uang Web 3.0 sering mendiskusikannya sebagai token utilitas. Sebelumnya, istilah "utilitas" telah dikaitkan dengan meta-narasi di ruang moneter Web 3.0, sering melibatkan cerita industri khusus seperti kecerdasan buatan, fintech, logistik, transaksi lintas batas, dll. TBT awalnya dikembangkan bersama dengan narasi "utilitarian" untuk mendesentralisasikan dan menyempurnakan aktivitas perdagangan melalui antarmuka pengguna yang inovatif. Namun, TBT sebenarnya telah melampaui meta-narasi utilitas tunggal dan menemukan resonansi dalam berbagai narasi meme dan non-meme.
Pada saat yang sama, ketika narasi TBT berkembang, ada hype siklus seputar token meme mini-game, terutama proyek yang disebut "$HAMS". $HAMS adalah token meme berumur pendek yang memungkinkan pengguna memasang taruhan pada pertandingan hamster langsung. Namun, $HAMS itu meninggal tak lama setelah peluncuran karena tuduhan oleh anggota masyarakat bahwa operator menggunakan kembali rekaman video hamster. Ini telah memunculkan berbagai token peringatan game lainnya, juga dikenal sebagai TBT. Salah satu token disebut "$TETRIS", di mana pengguna dapat berjudi dan berpartisipasi dalam balapan Tetris antar pemain. Hubungan antara token peringatan permainan tertentu dibentuk melalui penyebutan secara luas di platform X.
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f019dd97a4-dd1a6f-cd5cc0.webp)
Contoh lain dari persimpangan narasi TBT melibatkan PAAL AI. Meskipun ini bukan meme khusus, proyek ini telah mengembangkan chatbot Telegram seperti ChatGPT. Token dan struktur proyek juga mirip dengan struktur TBT lainnya. Anehnya, proyek ini tampaknya tidak membuat chatbot Telegram, melainkan menyediakan antarmuka web seperti ChatGPT. Namun, bot dapat diintegrasikan ke dalam saluran Telegram pribadi pengguna melalui API.
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-432b45f09c-dd1a6f-cd5cc0.webp)
Klasifikasi TBT CoinGecko
Tak lama setelah rilis Unibot, CoinGecko meluncurkan daftar TBT terperincinya. Daftar ini awalnya dirilis sekitar 20 Juli dan berisi sekitar 30 token. Hanya dalam beberapa minggu, jumlah itu membengkak menjadi 61. Kami telah menganalisis daftar ini menggunakan berbagai metode, termasuk kombinasi indikator seperti momentum harga, dinamika likuiditas, dan aktivitas perdagangan, dan mengkategorikannya menurut apakah mereka cenderung mati atau apakah mereka masih aktif berdagang. Pada bulan Agustus, distribusi ditunjukkan pada diagram batang di bawah ini:
! [Proyek bot Telegram dieksploitasi lagi: analisis insiden serangan Unibot] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-8548a397bf-dd1a6f-cd5cc0.webp)
Dari 61 proyek ini, kami mengklasifikasikan 37 sebagai aktif dan 24 sebagai almarhum atau mungkin almarhum. Proyek-proyek ini turun lebih dari 85%, memiliki sedikit atau tidak ada likuiditas di kolam mereka, dan tidak memiliki aktivitas, atau kemungkinan akan keluar dari penipuan. Artinya, hampir 40% item dalam kategori ini telah mati atau tidak mungkin pulih.
Perlu disebutkan bahwa dompet yang disediakan saat mendaftarkan akun bot Telegram dibuat secara otomatis, sedangkan kunci pribadi disediakan nanti. Unibot tidak menentukan bagaimana atau di mana kunci pribadi ini disimpan, baik secara lokal atau di latar belakang server. Ini berarti sangat berbahaya menggunakan bot Telegram ini untuk berdagang dan menyimpan dana. **
Proyek tanpa integrasi Telegram
Dalam perjalanan penelitian kami, kami menemukan bahwa beberapa proyek yang terdaftar sebagai TBT tidak mengintegrasikan token mereka ke Telegram atau tidak memiliki bot perdagangan Telegram, tetapi hanya saluran komunitas Telegram biasa. Beberapa proyek memiliki DApps eksternal dengan fungsi yang sama dengan Unibot, sementara yang lain memiliki peta jalan yang menunjukkan bahwa integrasi Telegram akan diterapkan di masa depan.
Proyek lain tidak memiliki fitur ini, tetapi kehadiran mereka di daftar ini mungkin menunjukkan narasi silang yang kami sebutkan sebelumnya. **Proyek-proyek ini dapat mengiklankan diri sebagai proyek tipe TBT ketika mengirimkan aplikasi mereka ke CoinGecko dan menunjukkan tujuan integrasi atau akan diintegrasikan di masa depan. Kami telah melihat bagaimana hype naratif dapat memperkuat kategori token tertentu, dengan beberapa bahkan ada sebagai "meme", bahkan jika proyek tersebut sebenarnya tidak ada hubungannya dengan kelas yang ditugaskan kepadanya. Menurut analisis kami, dampak dari hype naratif semacam ini sangat besar sehingga sebagian dapat menjelaskan perbedaan ini.
Tulis di akhir
Setiap kali narasi baru menjadi populer di komunitas mata uang digital, akan ada sejumlah besar proyek serupa yang terus dirilis di bawah narasi yang sama, banyak di antaranya adalah penipuan keluar atau upaya untuk mencuri aset investor, dan TBT tidak terkecuali dalam hal ini.
Pengembangan TBT bisa menjadi inovasi unik bagi komunitas DeFi. Meskipun kegunaan token ini tidak jelas, kemunculan platform serupa menawarkan investor cara baru untuk mengumpulkan data ke dalam strategi perdagangan mereka. Namun, pengguna harus ekstra hati-hati dengan platform ini. **
Di bidang TBT, proyek ada dalam bentuk meme, dan nilainya bisa hilang dalam semalam, yang mengharuskan kita untuk mempertahankan sikap partisipasi yang hati-hati dan terinformasi. Banyak proyek tidak memberi pengguna dokumentasi yang jelas tentang di mana dan bagaimana kunci dompet mereka disimpan, jadi ada risiko besar yang tidak diketahui.
Pengguna tidak boleh mempertimbangkan untuk menggunakan platform ini untuk penyimpanan. Pengguna juga harus berhati-hati saat menautkan dompet eksternal ke platform ini, atau berinteraksi dengan situs web yang dihasilkan oleh barang-barang ini.