! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-1979bb04a2-dd1a6f-69ad2a.webp)
Chiều nay, một số thành viên cộng đồng đã phản ứng rằng Unibot, một dự án bot Telegram, đã bị tấn công. Theo giám sát của Scopescan, những kẻ tấn công đã chuyển token từ người dùng Unibot và đang trong quá trình đổi chúng lấy ETH, với thiệt hại hơn 600.000 USD cho đến nay.
Ngay sau khi tin tức được đưa ra, mã thông báo UNIBOT đã giảm từ mức tối thiểu 55 USDT xuống còn 33 USDT, với mức giảm tối đa là 40% và hiện đang giao dịch ở mức 39,5 USDT.
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-64fa992197-dd1a6f-69ad2a.webp)
Công ty bảo mật: Ngừng hoạt động càng sớm càng tốt
Cơ quan bảo mật BlockSecTeam phân tích rằng vì mã không phải là mã nguồn mở, nên nghi ngờ rằng chức năng 0xb2bd16ab trong hợp đồng 0x126c thiếu xác thực đầu vào, cho phép các cuộc gọi tùy ý. Do đó, kẻ tấn công có thể gọi "transferFrom" để chuyển các token được phê duyệt trong hợp đồng. BlockSecTeam nhắc nhở người dùng thu hồi phê duyệt hợp đồng càng sớm càng tốt và chuyển tiền sang ví mới.
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-932721cdff-dd1a6f-69ad2a.webp)
Theo phân tích của nhóm bảo mật Beosin, nguyên nhân sâu xa của cuộc tấn công vào Unibot là CAll injection và kẻ tấn công có thể chuyển dữ liệu cuộc gọi độc hại tùy chỉnh đến hợp đồng 0xb2bd16ab, từ đó chuyển các token được hợp đồng Unibot phê duyệt. Beosin Trace đang truy tìm các khoản tiền bị đánh cắp và Beosin nhắc nhở người dùng rằng họ có thể hủy cấp phép ví của mình trên Thu hồi bằng cách liên kết: Địa chỉ liên quan đến cuộc tấn công như sau:
Tin tặc đã không hoạt động trong nửa năm để tấn công
Một trong những điểm lạ của Unibot lần này là địa chỉ của hacker đã bị chiếm dụng kể từ khi triển khai hợp đồng Unibot vào tháng 5 năm nay. Theo Scopescan, hacker đã nhận được 1 ETH từ FixedFloat (coin mixer) làm gas cho cuộc tấn công một tuần sau khi Unibot ra mắt, và không có hành động liên quan nào trong nửa năm kể từ đó, cho đến ngày hôm nay.
Nhiều người dùng trong cộng đồng tiền điện tử suy đoán rằng cuộc tấn công này có thể đã được thực hiện bởi những người trong nội bộ Unibot, bởi vì tai nạn xảy ra rất trùng hợp, đó là khoảng thời gian cửa sổ sau khi Unibot thay thế hợp đồng mới (hợp đồng mới được nâng cấp chỉ hai ngày trước) và tin tặc dễ dàng tìm thấy lỗ hổng hợp đồng.
Thông tin trên chuỗi cho thấy địa chỉ ví của hacker hiện có khoảng 630.000 USD tài sản còn lại và tỷ lệ tài sản lớn nhất còn lại là ETH, khoảng 573.000 USD và các tài sản bị đánh cắp khác liên quan đến các loại tiền tệ như sau
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-b9cee2b04c-dd1a6f-69ad2a.webp)
Ngoài ra, theo giám sát của Lookonchain, tài sản của một người dùng đã bị đánh cắp hai lần trong cuộc tấn công này. Tài khoản người dùng ban đầu nhận được 20.789 USDC, chi 1.000 đô la cho SMilk và 19.789 đô la USDC còn lại đã bị những kẻ tấn công đánh cắp, nhưng người dùng không nhận thấy điều đó. Chiều nay, người dùng này đã bán SMilk với giá 2.194 USD và kiếm được 1.194 USD (lợi suất 120%); Một giờ sau, 2194 đô la cuối cùng còn lại bằng USDC lại bị đánh cắp.
Có một lỗ hổng trong bộ định tuyến và cuộc tấn công vẫn đang diễn ra
Unibot chính thức thông báo rằng cuộc tấn công chủ yếu là do lỗ hổng phê duyệt mã thông báo trong bộ định tuyến mới và bộ định tuyến đã bị đình chỉ; Bất kỳ tổn thất nào do lỗ hổng sẽ được bồi thường và Unibot sẽ đưa ra phản hồi chi tiết sau khi cuộc điều tra kết thúc.
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-e058b238ba-dd1a6f-69ad2a.webp)
Người dùng cộng đồng @tomkysar tuyên bố rằng cuộc tấn công chống lại Unibot vẫn đang tiếp diễn và có vẻ như hai địa chỉ kẻ tấn công vẫn có thể lấy tiền từ các addy được phê duyệt của 0x126 Router và tiền của người dùng vẫn gặp rủi ro.
Scopescan cũng đăng rằng một kẻ tấn công Unibot mới đã xuất hiện, triển khai hợp đồng tương tự như kẻ tấn công trước đó và đang đánh cắp tiền của người dùng.
BẢO MẬT SẢN PHẨM BOT CÓ VẤN ĐỀ
Unibot là một Bot Telegram mới phổ biến cho phép người dùng giao dịch tiền điện tử mà không cần rời khỏi ứng dụng Telegram. Bot này dễ sử dụng, giao dịch nhanh và cung cấp nhiều tính năng khác nhau, chẳng hạn như giao dịch sao chép phi tập trung, lệnh giới hạn dựa trên DEX và bảo vệ chống lại các bot MEV.
Theo dữ liệu của CoinGecko, UniBOT đã kiếm được 8.950 ETH kể từ khi thành lập, đứng thứ hai trong số tất cả các sản phẩm BOT. Maestro đứng đầu, với thu nhập tích lũy là 13.200 ETH; Banana Gun đứng thứ ba với lợi suất 1.940 ETH.
Tuy nhiên, cũng có những rủi ro bảo mật đáng kể liên quan đến các sản phẩm bot, đặc biệt là lỗ hổng bộ định tuyến gần đây trong hợp đồng Maestro, dẫn đến mất khoảng 281 ETH – một lỗ hổng cho phép kẻ tấn công chuyển bất kỳ mã thông báo nào được phê duyệt trên hợp đồng Router 2 của nó. Cuối cùng, Maestro đã chọn cách bù đắp một số tổn thất của người dùng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Unibot đã bị tấn công và mất hơn 600.000 đô la, và tính bảo mật của TG BOT bị nghi ngờ
Bản gốc | Odaily
Tác giả | Tần Tiểu Phong
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-1979bb04a2-dd1a6f-69ad2a.webp)
Chiều nay, một số thành viên cộng đồng đã phản ứng rằng Unibot, một dự án bot Telegram, đã bị tấn công. Theo giám sát của Scopescan, những kẻ tấn công đã chuyển token từ người dùng Unibot và đang trong quá trình đổi chúng lấy ETH, với thiệt hại hơn 600.000 USD cho đến nay.
Ngay sau khi tin tức được đưa ra, mã thông báo UNIBOT đã giảm từ mức tối thiểu 55 USDT xuống còn 33 USDT, với mức giảm tối đa là 40% và hiện đang giao dịch ở mức 39,5 USDT.
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-64fa992197-dd1a6f-69ad2a.webp)
Công ty bảo mật: Ngừng hoạt động càng sớm càng tốt
Cơ quan bảo mật BlockSecTeam phân tích rằng vì mã không phải là mã nguồn mở, nên nghi ngờ rằng chức năng 0xb2bd16ab trong hợp đồng 0x126c thiếu xác thực đầu vào, cho phép các cuộc gọi tùy ý. Do đó, kẻ tấn công có thể gọi "transferFrom" để chuyển các token được phê duyệt trong hợp đồng. BlockSecTeam nhắc nhở người dùng thu hồi phê duyệt hợp đồng càng sớm càng tốt và chuyển tiền sang ví mới.
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-932721cdff-dd1a6f-69ad2a.webp)
Theo phân tích của nhóm bảo mật Beosin, nguyên nhân sâu xa của cuộc tấn công vào Unibot là CAll injection và kẻ tấn công có thể chuyển dữ liệu cuộc gọi độc hại tùy chỉnh đến hợp đồng 0xb2bd16ab, từ đó chuyển các token được hợp đồng Unibot phê duyệt. Beosin Trace đang truy tìm các khoản tiền bị đánh cắp và Beosin nhắc nhở người dùng rằng họ có thể hủy cấp phép ví của mình trên Thu hồi bằng cách liên kết: Địa chỉ liên quan đến cuộc tấn công như sau:
Tin tặc đã không hoạt động trong nửa năm để tấn công
Một trong những điểm lạ của Unibot lần này là địa chỉ của hacker đã bị chiếm dụng kể từ khi triển khai hợp đồng Unibot vào tháng 5 năm nay. Theo Scopescan, hacker đã nhận được 1 ETH từ FixedFloat (coin mixer) làm gas cho cuộc tấn công một tuần sau khi Unibot ra mắt, và không có hành động liên quan nào trong nửa năm kể từ đó, cho đến ngày hôm nay.
Nhiều người dùng trong cộng đồng tiền điện tử suy đoán rằng cuộc tấn công này có thể đã được thực hiện bởi những người trong nội bộ Unibot, bởi vì tai nạn xảy ra rất trùng hợp, đó là khoảng thời gian cửa sổ sau khi Unibot thay thế hợp đồng mới (hợp đồng mới được nâng cấp chỉ hai ngày trước) và tin tặc dễ dàng tìm thấy lỗ hổng hợp đồng.
Thông tin trên chuỗi cho thấy địa chỉ ví của hacker hiện có khoảng 630.000 USD tài sản còn lại và tỷ lệ tài sản lớn nhất còn lại là ETH, khoảng 573.000 USD và các tài sản bị đánh cắp khác liên quan đến các loại tiền tệ như sau
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-b9cee2b04c-dd1a6f-69ad2a.webp)
Ngoài ra, theo giám sát của Lookonchain, tài sản của một người dùng đã bị đánh cắp hai lần trong cuộc tấn công này. Tài khoản người dùng ban đầu nhận được 20.789 USDC, chi 1.000 đô la cho SMilk và 19.789 đô la USDC còn lại đã bị những kẻ tấn công đánh cắp, nhưng người dùng không nhận thấy điều đó. Chiều nay, người dùng này đã bán SMilk với giá 2.194 USD và kiếm được 1.194 USD (lợi suất 120%); Một giờ sau, 2194 đô la cuối cùng còn lại bằng USDC lại bị đánh cắp.
Có một lỗ hổng trong bộ định tuyến và cuộc tấn công vẫn đang diễn ra
Unibot chính thức thông báo rằng cuộc tấn công chủ yếu là do lỗ hổng phê duyệt mã thông báo trong bộ định tuyến mới và bộ định tuyến đã bị đình chỉ; Bất kỳ tổn thất nào do lỗ hổng sẽ được bồi thường và Unibot sẽ đưa ra phản hồi chi tiết sau khi cuộc điều tra kết thúc.
! [Unibot bị tấn công và mất hơn 600.000 USD, tính bảo mật của TG BOT còn nhiều nghi vấn] (https://img-cdn.gateio.im/webp-social/moments-7f230462a9-e058b238ba-dd1a6f-69ad2a.webp)
Người dùng cộng đồng @tomkysar tuyên bố rằng cuộc tấn công chống lại Unibot vẫn đang tiếp diễn và có vẻ như hai địa chỉ kẻ tấn công vẫn có thể lấy tiền từ các addy được phê duyệt của 0x126 Router và tiền của người dùng vẫn gặp rủi ro.
Scopescan cũng đăng rằng một kẻ tấn công Unibot mới đã xuất hiện, triển khai hợp đồng tương tự như kẻ tấn công trước đó và đang đánh cắp tiền của người dùng.
BẢO MẬT SẢN PHẨM BOT CÓ VẤN ĐỀ
Unibot là một Bot Telegram mới phổ biến cho phép người dùng giao dịch tiền điện tử mà không cần rời khỏi ứng dụng Telegram. Bot này dễ sử dụng, giao dịch nhanh và cung cấp nhiều tính năng khác nhau, chẳng hạn như giao dịch sao chép phi tập trung, lệnh giới hạn dựa trên DEX và bảo vệ chống lại các bot MEV.
Theo dữ liệu của CoinGecko, UniBOT đã kiếm được 8.950 ETH kể từ khi thành lập, đứng thứ hai trong số tất cả các sản phẩm BOT. Maestro đứng đầu, với thu nhập tích lũy là 13.200 ETH; Banana Gun đứng thứ ba với lợi suất 1.940 ETH.
Tuy nhiên, cũng có những rủi ro bảo mật đáng kể liên quan đến các sản phẩm bot, đặc biệt là lỗ hổng bộ định tuyến gần đây trong hợp đồng Maestro, dẫn đến mất khoảng 281 ETH – một lỗ hổng cho phép kẻ tấn công chuyển bất kỳ mã thông báo nào được phê duyệt trên hợp đồng Router 2 của nó. Cuối cùng, Maestro đã chọn cách bù đắp một số tổn thất của người dùng.