著名的Telegram 交易工具Unibot 成為了一系列不斷擴大的加密貨幣被攻擊事件的最新受害者。
Unibot 承認在10 月31 日遭受了攻擊,因為在新路由器中出現了代幣批准的漏洞。 Unibot 官方發佈公告稱:「在新路由器中出現了代幣批准的漏洞,Unibot 已暫停了新路由器以解決這個問題。由於新路由器的錯誤而造成的任何資金損失都將得到補償;用戶的密鑰和錢包是安全的,將在調查結束後發布詳細回應。」據悉該漏洞造成了超過630, 000 美元的損失。本篇,veDAO 研究院將帶來此事件的具體消息,以及如何保護自己在Telegram 上的資產安全的建議。
Unibot 被攻擊的始末
10 月31 日,區塊鏈分析公司Scopescan 通知Unibot 的用戶,表示該平台正在遭受一次正在進行但未被發現的攻擊事件,Unibot 的一個最新部署的合約上的漏洞導致了多個用戶的加密貨幣餘額被清空。
隨後,Unibot 發布了文章開頭提到的公告,透露了被駭客攻擊的第一批細節,並確認了是由於新路由器中出現了代幣批准的漏洞導致遭受攻擊。
Scopescan 敦促用戶取消對被利用合約(0x126c9FbaB3A2FCA24eDfd17322E71a5e36E91865)的批准,並將資金轉移到新錢包,以配合Unibot 和區塊鏈調查人員的持續調查。
Unibot 承諾將賠償所有因合約漏洞造成財務損失的用戶。這次攻擊從北京時間31 日12: 39: 23 開始,持續到了31 日的14: 09: 47 。在此期間,攻擊者執行了22 次攻擊交易,總共有42 種代幣透過路由器從364 個受害者地址轉移到了攻擊者手中,漏洞利用者隨後出售了這些代幣,獲得總計355.5 ETH。目前所有355.5 ETH 已轉入Tornado.Cash。根據每週交易統計數據,其中包括Joe(JOE)、UNIBOT 和BeerusCat(BCAT)等加密貨幣。
UNIBOT 跌幅近40%
雖然Unibot 官方已承諾賠償損失,但受到駭客訊息影響,UNIBOT 仍出現暴跌的情況。根據CoinMarketCap 數據顯示,UNIBOT 事發後從58.34 美元暴跌至最低35.94 美元,最大跌幅高達38% ,後續稍有回升,在42 美元徘徊。值得注意的是,儘管恐慌性拋售量強勁,但巨鯨和聰明錢還是藉機大量抄底吸收了更多UNIBOT。
後續
11 月1 日,Unibot 在Telegram 發佈公告稱,昨天的漏洞已完全解決,已恢復到舊路由器;Unibot 目前已安全且能正常運作。然而受損用戶的資產退還需要一些時間:Unibot 目前正在進行最後幾輪的模擬,意圖透過額外的措施,來確保徹底退還用戶的代幣。公告稱,由於受到漏洞影響的代幣種類超過100 種,因此退款過程比預期的要長。由於這些代幣在規模和流動性方面各不相同,因此退款最終將以不同代幣+ETH 的混合形式進行。
什麼是Unibot?
Unibot 是內置於Telegram 的交易工具機器人,用戶在Telegram 內與機器人以對話的形式發布交易指令就可完成鏈上代幣在Uniswap 上的交易活動,如代幣兌換、跟單交易、限價訂單、隱私交易等。 Unibot 在Telegram 上因其易用的介面而備受歡迎。簡而言之,Unibot 允許用戶無需離開聊天App 的情況下在切換不同代幣。然而,用戶也可以利用MEV 保護交易並複製其他交易者的交易方案。該App 的原生代幣在8 月中旬曾飆升至驚人的236 美元,其受歡迎的程度可見一斑。
了解更多Unibot 詳情:https://app.vedao.com/projects/11af33a7c6ee5c9bae19219a682f7a0749779794c4a8ffdee61c16f7d2939b4b
Telegram 機器人
除了Unibot,還有許多Telegram 機器人,像是Mizar、Banana Gun、Maestro 和Wagie Bot 等都有很多用戶。 Telegram 機器人是透過Telegram 聊天程式執行的自動化程序。它們可以進行交易、向用戶提供市場數據、評估社交媒體上的情緒,並透過Telegram 介面發起的執行命令與智慧合約互動。這種類型的機器人已經存在多年,但近年來它們隨著Telegram 機器人代幣的出現而備受關注。
Telegram 機器人代幣是整合到Telegram 機器人中的原生代幣,主要用於多樣化的交易功能,例如執行DEX 交易、跨錢包管理投資組合、流動性挖礦以及其他與DeFi 相關的操作。這些代幣本質上允許用戶僅透過與Telegram 介面的互動就能對接整個DeFi。
今年7 月底開始,這些代幣的受歡迎程度急劇上升,一些代幣的漲幅甚至超過了1000% 。尤其是在Unibot 嶄露頭角之後,又湧現了大量Telegram 機器人代幣。目前,CoinMarketCap 上收錄了73 個Telegram 機器人代幣。
Unibot - 加密安全隱患的新問題
Unibot 這次的漏洞,意味著其智慧合約存在權限缺陷,可能導致用戶的代幣被移動到指定限制之外或進行未經授權的訪問,從而引起了人們的擔憂。
在將被盜走的資產轉移到Tornado.Cash 之前,攻擊者首先將它們轉移到了去中心化交易所Uniswap。在加密世界中,Tornado.Cash 經常成為引人注目的駭客攻擊和漏洞的中心。該協議開發團隊的幾名成員在今年8 月被指控協助駭客洗錢,涉及的金額超過了10 億美元,其中包括來自北韓的企業。與逮捕和隨後的處罰之前相比,使用該隱私協議的人數減少了90% 。
在Unibot 遭受襲擊之前的一周,一些LastPass 用戶報告稱,他們在加密貨幣中損失了440 萬美元。安全專家指出,這可能是由於去年12 月的LastPass 漏洞,儘管在過去的十個月裡頻繁的漏洞讓許多人感到困惑,因為它們似乎沒有規律可循。
加密貨幣領域的另一個主要弱點是能夠讓用戶在不相容的網絡之間轉移資產的區塊鏈間的跨鏈橋。依賴Optimism 的借貸平台Exactly 在今年8 月被盜,損失達700 萬美元。像Axie Infinity 的Ronin 跨鏈橋在2022 年3 月被駭客利用,造成了約6.22 億美元的損失;此外還有Wormhole 加密貨幣平台的漏洞事件,駭客從中竊取了驚人的3.2 億美元。
這些事件不斷提醒人們,在加密貨幣持續向主流市場發展的過程中,這些安全問題是無法迴避的困難。
如何在Telegram 上保護資產安全
Telegram 已成為加密貨幣社群中最常用的訊息傳遞程式之一。每個重要的區塊鏈項目和加密貨幣社區都有一個Telegram 帳戶,他們在那裡創建頻道和群組,以鼓勵互動和社區建立。 Telegram 的廣泛使用使它成為了加密貨幣愛好者了解更多信息、討論他們喜愛的項目的寶貴工具,但它也引來了黑客的關注。
我們來整理下在Telegram 上有哪些常見的加密貨幣詐騙方式,以及如何保護資產安全:
釣魚和訊息詐騙
在Telegram 上,釣魚採取“Smishing”(短信釣魚)的形式。其目的是提取敏感數據,通常是針對高知名度人士的「鯨魚」或「魚叉式釣魚」攻擊。
在Telegram 上的釣魚詐騙,通常是透過發送訊息來進行釣魚。有廣撒網式的、向盡可能多的人發送惡意欺騙訊息。更多的是目標為提取敏感資料的“魚叉式網絡釣魚(spear phishing)”和“鯨魚釣攻擊(whaling)”,用於針對組織和知名人士。
平台外詐騙
這些詐騙會引誘用戶離開平台並點擊鏈接,從而可能誘騙用戶共享個人資訊或下載惡意軟件。
模仿詐騙
詐騙者會創造假的Telegram 頻道或群組,模仿真實的頻道,使用戶相信他們是真正社群的一部分。你可以透過在設定中啟用僅限管理員發布並限制誰可以將你加入頻道,來驗證頻道的真實性。
冒充加密專家
Telegram 上的詐騙者冒充加密專家,並承諾能提高你的收益。他們通常在收集用戶的登錄資訊後就立刻消失。
拉高出貨計畫
這些詐騙活動宣傳可能對價格產生影響的事件,並敦促用戶進行投資或出售。在私人訊息中接收陌生投資建議時務必小心。
Telegram 機器人
儘管Telegram 機器人可能很有用,但有些駭客創建了假的機器人。避免那些急於讓您採取行動的機器人,檢查它們的電話號碼、發布的內容,永遠不要分享敏感資訊。
技術支援詐騙
詐騙者會在Telegram 頻道中冒充支援人員。切勿與所謂的支援人員分享機密訊息,無論他們是機器人還是真人。
虛假贈品
要警惕那些要求你提供銀行詳細信息,或要求你支付費用以領取獎品的贈品,因為這些很可能是詐騙。
由於Telegram 上幾乎囊括了絕大多數的加密貨幣項目,各種社群多如牛毛,因此騙子將其視為一個吸引人的平台。因此,避免洩露個人資訊、匯款或點擊可疑鏈接至關重要。
關注我們
veDAO 是AI 驅動的web3趨勢追蹤智慧交易一站式平台,將大數據分析所呈現的市場趨勢與交易深度結合,致力於打造更適合Web2和Web3用戶買賣投資的web3 AI 交易所。
veDAO 擁有業界領先的由鏈上分析情緒指標構成的AI 大語言模型,為用戶提供主動型數據支持,結合智能、快捷、安全、實時監控的AI 交易功能,截止目前,平台重度使用用戶已超過37000人,關聯22000+Web3垂直行業Twitter KOL,與180+專業機構組成veDAO 專家委員會,平台項目庫超8300+個,且有220+星探與veDAO 一起不斷增加Web3項目。
veDAO 以兩週一次版本更新的速度不斷升級,決心搭建Web2通往Web3的橋樑,成為未來Web2和Web3用戶查項目、找熱點、看趨勢、一級投資、二級交易的首選平台。
Website:http://www.vedao.com/
🔴投資有風險,專案僅供參考,風險請自擔🔴
IOS
Android