! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/0RMc7473cZ.jpg)
О 12:39:23 31 жовтня 2023 року за пекінським часом Unibot був зловмисно використаний і втратив активи на суму 640 000 доларів США. Зловмисник скористався вразливістю «довільного виклику» в контракті маршрутизатора Unibot для переказу на своє ім'я різних токенів вартістю $640 000, попередньо авторизованих на контракт маршрутизації.
Давайте спочатку подивимося на аналіз вразливостей і процес атаки цього інциденту.
Аналіз вразливостей
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/Vjqp5n367y.png)
Функція 0xb2bd16ab() не перевіряє належним чином вхідні параметри, зокрема g0 та g4, які використовуються для довільного виклику зовнішнього контракту токена та виконання методу 'transferFrom()'.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/CRAE82hRm2.png)
Процес атаки
Атака почалася о 12:39:23 за пекінським часом 31 числа і тривала до 14:09:47 31 числа. За цей час зловмисник виконав 22 транзакції атаки, викликавши на контракті атаки метод «0x5456a7bf()», який неодноразово викликав метод «0xb2bd16ab()» у контракті маршрутизатора Unibot для переказу різних токенів з адреси жертви на власний обліковий запис.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/319xheBxc5.png)
Загалом зловмисникам було передано 42 токени з 364 адрес жертв через маршрутизатор, які потім експлойтери продали на загальну суму 355,5 ETH (близько $640 000).
Пізніше команда Unibot відреагувала, розгорнувши новий контракт на маршрутизатор. У своєму офіційному акаунті X вони також оголосили про план компенсацій для всіх постраждалих. Усі 355,5 ETH були переведені на Tornado.Cash.
Telegram Boo
Ця атака дуже схожа на попередній інцидент з Maestrobot. 25 жовтня CertiK випустила попередження на платформі X про те, що контракт на маршрутизатор Maestro Bots проекту Telegram-бота був атакований, що призвело до збитків у розмірі близько $500 000.
Боти Telegram – це сфера, що розвивається у світі Web 3.0, яка дозволяє користувачам виконувати різні DeFi-операції через інтерфейс Telegram, інтегруючи в нього токени. Однак межа між справжніми інноваціями та заплутаними ілюзіями стає дедалі складнішою.
Команда безпеки CertiK провела дослідження 61 проєкту зі списку токенів ботів Telegram від CoinGecko і виявила, що майже 40% проєктів підозрювалися як неактивні, потенційно шахрайські або такі, що ризикують не оговтатися від великого розпродажу. Торгові механізми цих платформ, безсумнівно, інноваційні, але багатьом не вистачає ключових технічних деталей, особливо інформації про управління приватними ключами в гаманцях у додатку. Ми рекомендуємо користувачам проявляти надзвичайну обережність під час роботи на цих платформах, мінімізувати взаємодію з ними та уникати тривалого зберігання активів.
Дізнайтеся про Telegram-ботів та їхні токени
Боти Telegram – це автоматизовані програми, які працюють через програми чату Telegram. Вони можуть здійснювати транзакції, надавати користувачам ринкові дані, оцінювати настрої в соціальних мережах і взаємодіяти зі смарт-контрактами за допомогою виконаних команд, ініційованих інтерфейсом Telegram. Цей тип ботів існує вже багато років, але останніми роками вони набули популярності з появою токенів ботів Telegram.
Токен бота Telegram — це нативний токен, інтегрований у бота Telegram, і в основному використовується для диверсифікованих торгових функцій, таких як виконання транзакцій DEX, управління портфелями в гаманцях, прибуткове фермерство та інші можливі операції, пов'язані з DeFi. Ці токени, по суті, дозволяють користувачам підключатися до всього DeFi, просто взаємодіючи з інтерфейсом Telegram. Якщо ці програми зможуть залишатися безпечними та належним чином працювати протягом тривалого часу, це може мати значний вплив на загальну доступність DeFi. **
Після 20 липня цього року популярність цих токенів різко зросла, а деякі навіть зросли більш ніж на 1 000%. Ця тенденція відображає циклічне божевілля, поширене в спільноті Web 3.0, зумовлене наративним резонансом грошової спільноти Web 3.0 на платформі X (раніше Twitter).
Особливо після того, як Unibot став відомим, з'явилася велика кількість TBT. Станом на 3 серпня 2023 року в колонці токенів бота CoinGecko налічується 61 така система.
Перетин перетину наративів
TBT (Telegram Bot Token) займає унікальну позицію в просторі Web 3.0. На платформі X (раніше Twitter) ентузіасти валют Web 3.0 часто обговорюють їх як утилітарні токени. Раніше термін «корисність» асоціювався з метанаративами у грошовому просторі Web 3.0, часто пов'язаними з історіями спеціалізованих галузей, таких як штучний інтелект, фінтех, логістика, транскордонні транзакції тощо. Спочатку TBT був розроблений разом з «утилітарним» наративом для децентралізації та вдосконалення торгової діяльності за допомогою інноваційного інтерфейсу користувача. Однак насправді TBT вийшов за рамки одного корисного метанаративу і знайшов відгук у різноманітних наративах про меми та не меми.
У той же час, у міру розвитку наративу TBT, виник циклічний ажіотаж навколо мем-токенів міні-ігор, особливо проекту під назвою «$HAMS». $HAMS — це недовговічний мем-токен, який дозволяє користувачам робити ставки на матчі хом'яків у прямому ефірі. Однак $HAMS помер невдовзі після запуску через звинувачення членів спільноти в тому, що оператор повторно використовував відеозаписи з хом'яками. Це призвело до появи різних інших ігрових пам'ятних токенів, також відомих як TBT. Один із токенів називається «$TETRIS», де користувачі можуть грати в азартні ігри та брати участь у перегонах тетрісу між гравцями. Зв'язок між певними ігровими меморіальними токенами сформувався завдяки широкому згадуванню на платформі X.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/0Z9fJmBP5p.png)
Ще один приклад перетину наративу TBT пов'язаний зі штучним інтелектом PAAL. Хоча це не спеціальний мем, проєкт розробив чат-бот у Telegram, схожий на ChatGPT. Структура токена та проєкту також схожа на інші структури TBT. Цікаво, що проєкт, схоже, не робить чат-бота Telegram, а натомість надає веб-інтерфейс, схожий на ChatGPT. Однак бота можна інтегрувати в особистий Telegram-канал користувача через API.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/1zUEHyZ9CX.png)
Класифікація TBT від CoinGecko
Незабаром після випуску Unibot CoinGecko запустила свій детальний список TBT. Спочатку список був опублікований приблизно 20 липня і містить близько 30 токенів. Всього за кілька тижнів це число зросло до 61. Ми проаналізували цей список за допомогою різних методів, включаючи комбінацію таких індикаторів, як ціновий імпульс, динаміка ліквідності та торгова активність, і класифікували їх відповідно до того, чи вони, швидше за все, помруть, чи вони все ще активно торгуються. Станом на серпень розподіл показаний на гістограмі нижче:
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/8s2w6u023h.png)
З цих 61 проекту ми класифікуємо 37 як активні, а 24 – як померлих або, можливо, померлих. Ці проєкти або впали більш ніж на 85%, або практично не мають ліквідності у своїх пулах, і не мають активності, або, ймовірно, є шахрайськими з виходом. Тобто майже 40% предметів цієї категорії померли або навряд чи відновляться.
Варто зазначити, що гаманець, наданий під час реєстрації облікового запису Telegram-бота, генерується автоматично, а приватний ключ надається пізніше. Unibot не уточнює, як і де зберігаються ці приватні ключі, ні локально, ні у фоновому режимі сервера. Це означає, що використовувати цих Telegram-ботів для торгівлі та зберігання коштів дуже небезпечно. **
Проекти без інтеграції з Telegram
В ході нашого дослідження ми виявили, що деякі з проєктів, зазначених як TBT, або не інтегрували свої токени в Telegram, або не мали торгового бота Telegram, а лише звичайний канал спільноти Telegram. Деякі проєкти мають зовнішні DApps з тим самим функціоналом, що й Unibot, інші мають дорожні карти, які вказують на те, що інтеграція з Telegram буде реалізована в майбутньому.
Інші проєкти не мають цих функцій, але їхня присутність у цьому списку, можливо, свідчить про крос-наратив, про який ми згадували раніше. **Ці проекти можуть самостійно рекламуватися як проекти типу TBT при подачі своїх заявок на CoinGecko і вказувати мету інтеграції або будуть інтегровані в майбутньому. Ми бачили, як наративний ажіотаж може посилити певні категорії токенів, причому деякі навіть існують як «меми», навіть якщо проєкт насправді не має нічого спільного з класом, якому він присвоєний. Згідно з нашим аналізом, вплив такого роду наративного хайпу настільки великий, що може частково пояснити цю розбіжність.
Напишіть в кінці
Щоразу, коли новий наратив стає популярним у спільноті цифрових валют, з'явиться велика кількість подібних проєктів, які продовжуватимуть випускатися під тим самим наративом, багато з яких є або шахрайством з виходом, або спробами вкрасти активи інвесторів, і TBT у цьому плані не є винятком.
Розробка TBT може стати унікальною інновацією для DeFi-спільноти. Хоча корисність цих токенів незрозуміла, поява подібних платформ пропонує інвесторам нові способи агрегування даних у своїх торгових стратегіях. Однак користувачам слід бути особливо обережними з цими платформами. **
У сфері TBT проєкти існують у формі мемів, і їхня цінність може зникнути за одну ніч, що вимагає від нас обережного та поінформованого ставлення до участі. Багато проектів не надають користувачам чіткої документації про те, де і як зберігаються ключі від їхніх гаманців, тому існує величезний ризик невідомості.
Користувачам не слід розглядати можливість використання цих платформ для зберігання. Користувачі також повинні бути обережними, пов'язуючи зовнішні гаманці з цими платформами або взаємодіючи з веб-сайтами, створеними цими елементами.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Проєкт Telegram-бота знову експлуатують: аналіз інцидентів атак Unibot
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/0RMc7473cZ.jpg)
О 12:39:23 31 жовтня 2023 року за пекінським часом Unibot був зловмисно використаний і втратив активи на суму 640 000 доларів США. Зловмисник скористався вразливістю «довільного виклику» в контракті маршрутизатора Unibot для переказу на своє ім'я різних токенів вартістю $640 000, попередньо авторизованих на контракт маршрутизації.
Давайте спочатку подивимося на аналіз вразливостей і процес атаки цього інциденту.
Аналіз вразливостей
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/Vjqp5n367y.png)
Функція 0xb2bd16ab() не перевіряє належним чином вхідні параметри, зокрема g0 та g4, які використовуються для довільного виклику зовнішнього контракту токена та виконання методу 'transferFrom()'.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/CRAE82hRm2.png)
Процес атаки
Атака почалася о 12:39:23 за пекінським часом 31 числа і тривала до 14:09:47 31 числа. За цей час зловмисник виконав 22 транзакції атаки, викликавши на контракті атаки метод «0x5456a7bf()», який неодноразово викликав метод «0xb2bd16ab()» у контракті маршрутизатора Unibot для переказу різних токенів з адреси жертви на власний обліковий запис.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/319xheBxc5.png)
Загалом зловмисникам було передано 42 токени з 364 адрес жертв через маршрутизатор, які потім експлойтери продали на загальну суму 355,5 ETH (близько $640 000).
Пізніше команда Unibot відреагувала, розгорнувши новий контракт на маршрутизатор. У своєму офіційному акаунті X вони також оголосили про план компенсацій для всіх постраждалих. Усі 355,5 ETH були переведені на Tornado.Cash.
Telegram Boo
Ця атака дуже схожа на попередній інцидент з Maestrobot. 25 жовтня CertiK випустила попередження на платформі X про те, що контракт на маршрутизатор Maestro Bots проекту Telegram-бота був атакований, що призвело до збитків у розмірі близько $500 000.
Боти Telegram – це сфера, що розвивається у світі Web 3.0, яка дозволяє користувачам виконувати різні DeFi-операції через інтерфейс Telegram, інтегруючи в нього токени. Однак межа між справжніми інноваціями та заплутаними ілюзіями стає дедалі складнішою.
Команда безпеки CertiK провела дослідження 61 проєкту зі списку токенів ботів Telegram від CoinGecko і виявила, що майже 40% проєктів підозрювалися як неактивні, потенційно шахрайські або такі, що ризикують не оговтатися від великого розпродажу. Торгові механізми цих платформ, безсумнівно, інноваційні, але багатьом не вистачає ключових технічних деталей, особливо інформації про управління приватними ключами в гаманцях у додатку. Ми рекомендуємо користувачам проявляти надзвичайну обережність під час роботи на цих платформах, мінімізувати взаємодію з ними та уникати тривалого зберігання активів.
Дізнайтеся про Telegram-ботів та їхні токени
Боти Telegram – це автоматизовані програми, які працюють через програми чату Telegram. Вони можуть здійснювати транзакції, надавати користувачам ринкові дані, оцінювати настрої в соціальних мережах і взаємодіяти зі смарт-контрактами за допомогою виконаних команд, ініційованих інтерфейсом Telegram. Цей тип ботів існує вже багато років, але останніми роками вони набули популярності з появою токенів ботів Telegram.
Токен бота Telegram — це нативний токен, інтегрований у бота Telegram, і в основному використовується для диверсифікованих торгових функцій, таких як виконання транзакцій DEX, управління портфелями в гаманцях, прибуткове фермерство та інші можливі операції, пов'язані з DeFi. Ці токени, по суті, дозволяють користувачам підключатися до всього DeFi, просто взаємодіючи з інтерфейсом Telegram. Якщо ці програми зможуть залишатися безпечними та належним чином працювати протягом тривалого часу, це може мати значний вплив на загальну доступність DeFi. **
Після 20 липня цього року популярність цих токенів різко зросла, а деякі навіть зросли більш ніж на 1 000%. Ця тенденція відображає циклічне божевілля, поширене в спільноті Web 3.0, зумовлене наративним резонансом грошової спільноти Web 3.0 на платформі X (раніше Twitter).
Особливо після того, як Unibot став відомим, з'явилася велика кількість TBT. Станом на 3 серпня 2023 року в колонці токенів бота CoinGecko налічується 61 така система.
Перетин перетину наративів
TBT (Telegram Bot Token) займає унікальну позицію в просторі Web 3.0. На платформі X (раніше Twitter) ентузіасти валют Web 3.0 часто обговорюють їх як утилітарні токени. Раніше термін «корисність» асоціювався з метанаративами у грошовому просторі Web 3.0, часто пов'язаними з історіями спеціалізованих галузей, таких як штучний інтелект, фінтех, логістика, транскордонні транзакції тощо. Спочатку TBT був розроблений разом з «утилітарним» наративом для децентралізації та вдосконалення торгової діяльності за допомогою інноваційного інтерфейсу користувача. Однак насправді TBT вийшов за рамки одного корисного метанаративу і знайшов відгук у різноманітних наративах про меми та не меми.
У той же час, у міру розвитку наративу TBT, виник циклічний ажіотаж навколо мем-токенів міні-ігор, особливо проекту під назвою «$HAMS». $HAMS — це недовговічний мем-токен, який дозволяє користувачам робити ставки на матчі хом'яків у прямому ефірі. Однак $HAMS помер невдовзі після запуску через звинувачення членів спільноти в тому, що оператор повторно використовував відеозаписи з хом'яками. Це призвело до появи різних інших ігрових пам'ятних токенів, також відомих як TBT. Один із токенів називається «$TETRIS», де користувачі можуть грати в азартні ігри та брати участь у перегонах тетрісу між гравцями. Зв'язок між певними ігровими меморіальними токенами сформувався завдяки широкому згадуванню на платформі X.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/0Z9fJmBP5p.png)
Ще один приклад перетину наративу TBT пов'язаний зі штучним інтелектом PAAL. Хоча це не спеціальний мем, проєкт розробив чат-бот у Telegram, схожий на ChatGPT. Структура токена та проєкту також схожа на інші структури TBT. Цікаво, що проєкт, схоже, не робить чат-бота Telegram, а натомість надає веб-інтерфейс, схожий на ChatGPT. Однак бота можна інтегрувати в особистий Telegram-канал користувача через API.
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/1zUEHyZ9CX.png)
Класифікація TBT від CoinGecko
Незабаром після випуску Unibot CoinGecko запустила свій детальний список TBT. Спочатку список був опублікований приблизно 20 липня і містить близько 30 токенів. Всього за кілька тижнів це число зросло до 61. Ми проаналізували цей список за допомогою різних методів, включаючи комбінацію таких індикаторів, як ціновий імпульс, динаміка ліквідності та торгова активність, і класифікували їх відповідно до того, чи вони, швидше за все, помруть, чи вони все ще активно торгуються. Станом на серпень розподіл показаний на гістограмі нижче:
! [Проєкт Telegram-бота знову використано: аналіз інцидентів атак Unibot] (https://cdn-img.panewslab.com/panews/images/8s2w6u023h.png)
З цих 61 проекту ми класифікуємо 37 як активні, а 24 – як померлих або, можливо, померлих. Ці проєкти або впали більш ніж на 85%, або практично не мають ліквідності у своїх пулах, і не мають активності, або, ймовірно, є шахрайськими з виходом. Тобто майже 40% предметів цієї категорії померли або навряд чи відновляться.
Варто зазначити, що гаманець, наданий під час реєстрації облікового запису Telegram-бота, генерується автоматично, а приватний ключ надається пізніше. Unibot не уточнює, як і де зберігаються ці приватні ключі, ні локально, ні у фоновому режимі сервера. Це означає, що використовувати цих Telegram-ботів для торгівлі та зберігання коштів дуже небезпечно. **
Проекти без інтеграції з Telegram
В ході нашого дослідження ми виявили, що деякі з проєктів, зазначених як TBT, або не інтегрували свої токени в Telegram, або не мали торгового бота Telegram, а лише звичайний канал спільноти Telegram. Деякі проєкти мають зовнішні DApps з тим самим функціоналом, що й Unibot, інші мають дорожні карти, які вказують на те, що інтеграція з Telegram буде реалізована в майбутньому.
Інші проєкти не мають цих функцій, але їхня присутність у цьому списку, можливо, свідчить про крос-наратив, про який ми згадували раніше. **Ці проекти можуть самостійно рекламуватися як проекти типу TBT при подачі своїх заявок на CoinGecko і вказувати мету інтеграції або будуть інтегровані в майбутньому. Ми бачили, як наративний ажіотаж може посилити певні категорії токенів, причому деякі навіть існують як «меми», навіть якщо проєкт насправді не має нічого спільного з класом, якому він присвоєний. Згідно з нашим аналізом, вплив такого роду наративного хайпу настільки великий, що може частково пояснити цю розбіжність.
Напишіть в кінці
Щоразу, коли новий наратив стає популярним у спільноті цифрових валют, з'явиться велика кількість подібних проєктів, які продовжуватимуть випускатися під тим самим наративом, багато з яких є або шахрайством з виходом, або спробами вкрасти активи інвесторів, і TBT у цьому плані не є винятком.
Розробка TBT може стати унікальною інновацією для DeFi-спільноти. Хоча корисність цих токенів незрозуміла, поява подібних платформ пропонує інвесторам нові способи агрегування даних у своїх торгових стратегіях. Однак користувачам слід бути особливо обережними з цими платформами. **
У сфері TBT проєкти існують у формі мемів, і їхня цінність може зникнути за одну ніч, що вимагає від нас обережного та поінформованого ставлення до участі. Багато проектів не надають користувачам чіткої документації про те, де і як зберігаються ключі від їхніх гаманців, тому існує величезний ризик невідомості.
Користувачам не слід розглядати можливість використання цих платформ для зберігання. Користувачі також повинні бути обережними, пов'язуючи зовнішні гаманці з цими платформами або взаємодіючи з веб-сайтами, створеними цими елементами.