! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/0RMc7473cZ.jpg)
В 12:39:23 31 октября 2023 года по пекинскому времени Unibot подвергся злонамеренной эксплуатации и потерял активы на сумму 640 000 долларов США. Злоумышленник воспользовался уязвимостью «произвольного вызова» в контракте маршрутизатора Unibot для перевода на свое имя различных токенов на сумму 640 000 долларов США, предварительно авторизованных в контракте маршрутизации.
Давайте сначала посмотрим на анализ уязвимости и процесс атаки этого инцидента.
Анализ уязвимостей
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/Vjqp5n367y.png)
Функция 0xb2bd16ab() неправильно проверяет входные параметры, в частности g0 и g4, которые используются для произвольного вызова контракта внешнего токена и выполнения метода 'transferFrom()'.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/CRAE82hRm2.png)
Процесс атаки
Атака началась в 12:39:23 по пекинскому времени 31-го числа и продолжалась до 14:09:47 31-го числа. За это время злоумышленник выполнил 22 транзакции атаки, вызвав метод «0x5456a7bf()» на контракте атаки, который неоднократно вызывал метод «0xb2bd16ab()» в контракте маршрутизатора Unibot для передачи различных токенов с адреса жертвы на собственный аккаунт.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/319xheBxc5.png)
Всего с 364 адресов жертв через роутер злоумышленникам было передано 42 токена, которые затем эксплойты продали на общую сумму 355,5 ETH (около $640 000).
Позже команда Unibot отреагировала развертыванием нового контракта на маршрутизатор. В своем официальном аккаунте X они также объявили о плане компенсаций для всех пострадавших. Все 355,5 ETH были переведены на Tornado.Cash.
Телеграмма Бу
Эта атака очень похожа на предыдущий инцидент с Maestrobot. 25 октября CertiK выпустила предупреждение на платформе X о том, что контракт маршрутизатора Maestro Bots проекта бота Telegram подвергся атаке, в результате чего был нанесен ущерб в размере около 500 000 долларов.
Telegram-боты — это развивающаяся область в мире Web 3.0, которая позволяет пользователям выполнять различные операции DeFi через интерфейс Telegram, интегрируя в него токены. Однако грань между подлинными инновациями и обманчивыми иллюзиями становится все более сложной.
Команда безопасности CertiK провела исследование 61 проекта из списка токенов-ботов Telegram CoinGecko и обнаружила, что почти 40% проектов подозреваются в том, что они бездействуют, потенциально мошеннические или рискуют не оправиться от крупной распродажи. Торговые механизмы этих платформ, несомненно, являются инновационными, но многим из них не хватает ключевых технических деталей, особенно информации об управлении приватными ключами в кошельках приложений. Мы рекомендуем пользователям проявлять крайнюю осторожность при работе на этих платформах, минимизировать взаимодействие с ними и избегать хранения активов в течение длительных периодов времени.
Узнайте о Telegram-ботах и их токенах
Telegram-боты — это автоматизированные программы, которые запускаются через программы чата Telegram. Они могут совершать транзакции, предоставлять пользователям рыночные данные, оценивать настроения в социальных сетях и взаимодействовать со смарт-контрактами через выполняемые команды, инициированные интерфейсом Telegram. Этот тип ботов существует уже много лет, но в последние годы они набрали обороты с появлением токенов Telegram-ботов.
Токен бота Telegram — это нативный токен, интегрированный в бота Telegram, и в основном используется для диверсифицированных торговых функций, таких как выполнение транзакций DEX, управление портфелями через кошельки, доходное фермерство и другие возможные операции, связанные с DeFi. Эти токены, по сути, позволяют пользователям подключаться ко всему DeFi, просто взаимодействуя с интерфейсом Telegram. Если эти программы смогут оставаться безопасными и работать должным образом в течение длительного времени, это может оказать значительное влияние на общую доступность DeFi. **
После 20 июля этого года популярность этих токенов резко возросла, а некоторые даже увеличились более чем на 1 000%. Эта тенденция отражает циклическое безумие, распространенное в сообществе Web 3.0, вызванное нарративным резонансом денежного сообщества Web 3.0 на платформе X (ранее Twitter).
Особенно после того, как Unibot стал известным, появилось большое количество TBT. По состоянию на 3 августа 2023 года в колонке токенов ботов CoinGecko перечислена 61 такая система.
Пересечение нарративов
TBT (Telegram Bot Token) занимает уникальное положение в пространстве Web 3.0. На Platform X (ранее Twitter) энтузиасты валют Web 3.0 часто обсуждают их как служебные токены. Ранее термин «полезность» ассоциировался с метанарративами в денежном пространстве Web 3.0, часто включающими истории специализированных отраслей, таких как искусственный интеллект, финтех, логистика, трансграничные транзакции и т. д. TBT изначально разрабатывался вместе с «утилитарным» нарративом для децентрализации и совершенствования торговой деятельности с помощью инновационного пользовательского интерфейса. Тем не менее, TBT на самом деле вышел за рамки одного полезного мета-нарратива и нашел отклик в различных мемных и не-мемных нарративах.
В то же время, по мере развития нарратива TBT, возник циклический ажиотаж вокруг токенов-мемов для мини-игр, особенно проекта под названием «$HAMS». $HAMS — это недолговечный мем-токен, который позволяет пользователям делать ставки на матчи хомяков в прямом эфире. Однако $HAMS умер вскоре после запуска из-за обвинений членов сообщества в том, что оператор повторно использовал видеозаписи хомяков. Это привело к появлению различных других игровых памятных токенов, также известных как TBT. Один из токенов называется «$TETRIS», где пользователи могут играть в азартные игры и участвовать в гонках по тетрису между игроками. Связь между некоторыми игровыми мемориальными токенами была сформирована благодаря широкому упоминанию на платформе X.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/0Z9fJmBP5p.png)
Еще один пример пересечения нарративов TBT связан с ИИ PAAL. Хотя это не специальный мем, проект разработал чат-бота Telegram, похожий на ChatGPT. Структура токена и проекта также аналогична другим структурам TBT. Любопытно, что проект, похоже, не делает чат-бота в Telegram, а вместо этого предоставляет веб-интерфейс, похожий на ChatGPT. Однако бот может быть интегрирован в личный Telegram-канал пользователя через API.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/1zUEHyZ9CX.png)
Классификация TBT от CoinGecko
Вскоре после выпуска Unibot CoinGecko запустил свой подробный список TBT. Первоначально список был опубликован около 20 июля и содержит около 30 токенов. Всего за несколько недель это число выросло до 61. Мы проанализировали этот список, используя различные методы, включая комбинацию таких индикаторов, как ценовой импульс, динамика ликвидности и торговая активность, и классифицировали их в зависимости от того, могут ли они умереть или все еще активно торгуются. По состоянию на август распределение показано на гистограмме ниже:
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/8s2w6u023h.png)
Из этих 61 проекта мы классифицируем 37 как активные и 24 как умершие или возможно умершие. Эти проекты либо упали более чем на 85%, либо практически не имеют ликвидности в своих пулах и не проявляют никакой активности, либо, скорее всего, являются мошенничеством на выходе. То есть почти 40% предметов в этой категории умерли или вряд ли выздоровеют.
Стоит отметить, что кошелек, предоставленный при регистрации аккаунта Telegram-бота, генерируется автоматически, а приватный ключ предоставляется позже. Unibot не уточняет, как и где хранятся эти закрытые ключи, ни локально, ни в фоновом режиме сервера. Это означает, что использовать этих Telegram-ботов для торговли и хранения средств очень опасно. **
Проекты без интеграции с Telegram
В ходе нашего исследования мы обнаружили, что некоторые из проектов, перечисленных как TBT, либо не интегрировали свои токены в Telegram, либо не имели торгового бота Telegram, а только обычный канал сообщества Telegram. Некоторые проекты имеют внешние DApps с тем же функционалом, что и Unibot, в то время как у других есть дорожные карты, которые указывают на то, что интеграция с Telegram будет реализована в будущем.
Другие проекты не имеют этих особенностей, но их присутствие в этом списке, возможно, свидетельствует о перекрестном повествовании, о котором мы упоминали ранее. **Эти проекты могут самостоятельно рекламироваться как проекты типа TBT при подаче своих заявок на CoinGecko и указывать цель интеграции или будут интегрированы в будущем. Мы видели, как нарративная шумиха может усиливать определенные категории токенов, причем некоторые из них даже существуют как «мемные», даже если проект на самом деле не имеет ничего общего с классом, к которому он приписан. Согласно нашему анализу, влияние такого рода нарративного хайпа настолько велико, что может частично объяснить это расхождение.
Пишите в конце
Всякий раз, когда новый нарратив становится популярным в сообществе цифровых валют, появляется большое количество подобных проектов, которые продолжают выпускаться под одним и тем же нарративом, многие из которых являются либо мошенничеством с выходом, либо попытками украсть активы инвесторов, и TBT в этом отношении не является исключением.
Развитие TBT может стать уникальной инновацией для DeFi-сообщества. Хотя полезность этих токенов неясна, появление подобных платформ предлагает инвесторам новые способы агрегирования данных в своих торговых стратегиях. Тем не менее, пользователям следует быть особенно осторожными с этими платформами. **
В сфере ТБТ проекты существуют в виде мемов, и их ценность может исчезнуть в одночасье, что требует от нас осторожного и осознанного отношения к участию. Многие проекты не предоставляют пользователям четкую документацию о том, где и как хранятся ключи их кошельков, поэтому существует огромный риск неизвестных.
Пользователям не следует рассматривать возможность использования этих платформ для хранения. Пользователи также должны проявлять осторожность при привязке внешних кошельков к этим платформам или взаимодействии с веб-сайтами, сгенерированными этими элементами.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/0RMc7473cZ.jpg)
В 12:39:23 31 октября 2023 года по пекинскому времени Unibot подвергся злонамеренной эксплуатации и потерял активы на сумму 640 000 долларов США. Злоумышленник воспользовался уязвимостью «произвольного вызова» в контракте маршрутизатора Unibot для перевода на свое имя различных токенов на сумму 640 000 долларов США, предварительно авторизованных в контракте маршрутизации.
Давайте сначала посмотрим на анализ уязвимости и процесс атаки этого инцидента.
Анализ уязвимостей
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/Vjqp5n367y.png)
Функция 0xb2bd16ab() неправильно проверяет входные параметры, в частности g0 и g4, которые используются для произвольного вызова контракта внешнего токена и выполнения метода 'transferFrom()'.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/CRAE82hRm2.png)
Процесс атаки
Атака началась в 12:39:23 по пекинскому времени 31-го числа и продолжалась до 14:09:47 31-го числа. За это время злоумышленник выполнил 22 транзакции атаки, вызвав метод «0x5456a7bf()» на контракте атаки, который неоднократно вызывал метод «0xb2bd16ab()» в контракте маршрутизатора Unibot для передачи различных токенов с адреса жертвы на собственный аккаунт.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/319xheBxc5.png)
Всего с 364 адресов жертв через роутер злоумышленникам было передано 42 токена, которые затем эксплойты продали на общую сумму 355,5 ETH (около $640 000).
Позже команда Unibot отреагировала развертыванием нового контракта на маршрутизатор. В своем официальном аккаунте X они также объявили о плане компенсаций для всех пострадавших. Все 355,5 ETH были переведены на Tornado.Cash.
Телеграмма Бу
Эта атака очень похожа на предыдущий инцидент с Maestrobot. 25 октября CertiK выпустила предупреждение на платформе X о том, что контракт маршрутизатора Maestro Bots проекта бота Telegram подвергся атаке, в результате чего был нанесен ущерб в размере около 500 000 долларов.
Telegram-боты — это развивающаяся область в мире Web 3.0, которая позволяет пользователям выполнять различные операции DeFi через интерфейс Telegram, интегрируя в него токены. Однако грань между подлинными инновациями и обманчивыми иллюзиями становится все более сложной.
Команда безопасности CertiK провела исследование 61 проекта из списка токенов-ботов Telegram CoinGecko и обнаружила, что почти 40% проектов подозреваются в том, что они бездействуют, потенциально мошеннические или рискуют не оправиться от крупной распродажи. Торговые механизмы этих платформ, несомненно, являются инновационными, но многим из них не хватает ключевых технических деталей, особенно информации об управлении приватными ключами в кошельках приложений. Мы рекомендуем пользователям проявлять крайнюю осторожность при работе на этих платформах, минимизировать взаимодействие с ними и избегать хранения активов в течение длительных периодов времени.
Узнайте о Telegram-ботах и их токенах
Telegram-боты — это автоматизированные программы, которые запускаются через программы чата Telegram. Они могут совершать транзакции, предоставлять пользователям рыночные данные, оценивать настроения в социальных сетях и взаимодействовать со смарт-контрактами через выполняемые команды, инициированные интерфейсом Telegram. Этот тип ботов существует уже много лет, но в последние годы они набрали обороты с появлением токенов Telegram-ботов.
Токен бота Telegram — это нативный токен, интегрированный в бота Telegram, и в основном используется для диверсифицированных торговых функций, таких как выполнение транзакций DEX, управление портфелями через кошельки, доходное фермерство и другие возможные операции, связанные с DeFi. Эти токены, по сути, позволяют пользователям подключаться ко всему DeFi, просто взаимодействуя с интерфейсом Telegram. Если эти программы смогут оставаться безопасными и работать должным образом в течение длительного времени, это может оказать значительное влияние на общую доступность DeFi. **
После 20 июля этого года популярность этих токенов резко возросла, а некоторые даже увеличились более чем на 1 000%. Эта тенденция отражает циклическое безумие, распространенное в сообществе Web 3.0, вызванное нарративным резонансом денежного сообщества Web 3.0 на платформе X (ранее Twitter).
Особенно после того, как Unibot стал известным, появилось большое количество TBT. По состоянию на 3 августа 2023 года в колонке токенов ботов CoinGecko перечислена 61 такая система.
Пересечение нарративов
TBT (Telegram Bot Token) занимает уникальное положение в пространстве Web 3.0. На Platform X (ранее Twitter) энтузиасты валют Web 3.0 часто обсуждают их как служебные токены. Ранее термин «полезность» ассоциировался с метанарративами в денежном пространстве Web 3.0, часто включающими истории специализированных отраслей, таких как искусственный интеллект, финтех, логистика, трансграничные транзакции и т. д. TBT изначально разрабатывался вместе с «утилитарным» нарративом для децентрализации и совершенствования торговой деятельности с помощью инновационного пользовательского интерфейса. Тем не менее, TBT на самом деле вышел за рамки одного полезного мета-нарратива и нашел отклик в различных мемных и не-мемных нарративах.
В то же время, по мере развития нарратива TBT, возник циклический ажиотаж вокруг токенов-мемов для мини-игр, особенно проекта под названием «$HAMS». $HAMS — это недолговечный мем-токен, который позволяет пользователям делать ставки на матчи хомяков в прямом эфире. Однако $HAMS умер вскоре после запуска из-за обвинений членов сообщества в том, что оператор повторно использовал видеозаписи хомяков. Это привело к появлению различных других игровых памятных токенов, также известных как TBT. Один из токенов называется «$TETRIS», где пользователи могут играть в азартные игры и участвовать в гонках по тетрису между игроками. Связь между некоторыми игровыми мемориальными токенами была сформирована благодаря широкому упоминанию на платформе X.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/0Z9fJmBP5p.png)
Еще один пример пересечения нарративов TBT связан с ИИ PAAL. Хотя это не специальный мем, проект разработал чат-бота Telegram, похожий на ChatGPT. Структура токена и проекта также аналогична другим структурам TBT. Любопытно, что проект, похоже, не делает чат-бота в Telegram, а вместо этого предоставляет веб-интерфейс, похожий на ChatGPT. Однако бот может быть интегрирован в личный Telegram-канал пользователя через API.
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/1zUEHyZ9CX.png)
Классификация TBT от CoinGecko
Вскоре после выпуска Unibot CoinGecko запустил свой подробный список TBT. Первоначально список был опубликован около 20 июля и содержит около 30 токенов. Всего за несколько недель это число выросло до 61. Мы проанализировали этот список, используя различные методы, включая комбинацию таких индикаторов, как ценовой импульс, динамика ликвидности и торговая активность, и классифицировали их в зависимости от того, могут ли они умереть или все еще активно торгуются. По состоянию на август распределение показано на гистограмме ниже:
! [Проект Telegram-бота снова эксплуатируется: анализ инцидентов с атаками Unibot] (https://cdn-img.panewslab.com/panews/images/8s2w6u023h.png)
Из этих 61 проекта мы классифицируем 37 как активные и 24 как умершие или возможно умершие. Эти проекты либо упали более чем на 85%, либо практически не имеют ликвидности в своих пулах и не проявляют никакой активности, либо, скорее всего, являются мошенничеством на выходе. То есть почти 40% предметов в этой категории умерли или вряд ли выздоровеют.
Стоит отметить, что кошелек, предоставленный при регистрации аккаунта Telegram-бота, генерируется автоматически, а приватный ключ предоставляется позже. Unibot не уточняет, как и где хранятся эти закрытые ключи, ни локально, ни в фоновом режиме сервера. Это означает, что использовать этих Telegram-ботов для торговли и хранения средств очень опасно. **
Проекты без интеграции с Telegram
В ходе нашего исследования мы обнаружили, что некоторые из проектов, перечисленных как TBT, либо не интегрировали свои токены в Telegram, либо не имели торгового бота Telegram, а только обычный канал сообщества Telegram. Некоторые проекты имеют внешние DApps с тем же функционалом, что и Unibot, в то время как у других есть дорожные карты, которые указывают на то, что интеграция с Telegram будет реализована в будущем.
Другие проекты не имеют этих особенностей, но их присутствие в этом списке, возможно, свидетельствует о перекрестном повествовании, о котором мы упоминали ранее. **Эти проекты могут самостоятельно рекламироваться как проекты типа TBT при подаче своих заявок на CoinGecko и указывать цель интеграции или будут интегрированы в будущем. Мы видели, как нарративная шумиха может усиливать определенные категории токенов, причем некоторые из них даже существуют как «мемные», даже если проект на самом деле не имеет ничего общего с классом, к которому он приписан. Согласно нашему анализу, влияние такого рода нарративного хайпа настолько велико, что может частично объяснить это расхождение.
Пишите в конце
Всякий раз, когда новый нарратив становится популярным в сообществе цифровых валют, появляется большое количество подобных проектов, которые продолжают выпускаться под одним и тем же нарративом, многие из которых являются либо мошенничеством с выходом, либо попытками украсть активы инвесторов, и TBT в этом отношении не является исключением.
Развитие TBT может стать уникальной инновацией для DeFi-сообщества. Хотя полезность этих токенов неясна, появление подобных платформ предлагает инвесторам новые способы агрегирования данных в своих торговых стратегиях. Тем не менее, пользователям следует быть особенно осторожными с этими платформами. **
В сфере ТБТ проекты существуют в виде мемов, и их ценность может исчезнуть в одночасье, что требует от нас осторожного и осознанного отношения к участию. Многие проекты не предоставляют пользователям четкую документацию о том, где и как хранятся ключи их кошельков, поэтому существует огромный риск неизвестных.
Пользователям не следует рассматривать возможность использования этих платформ для хранения. Пользователи также должны проявлять осторожность при привязке внешних кошельков к этим платформам или взаимодействии с веб-сайтами, сгенерированными этими элементами.