2023년 10월 31일 12:39:23 베이징 시간,Unibot은 악의적인 공격을 받아 640,000달러의 자산을 잃었습니다.공격자는 Unibot 라우터 계약의 임의 호출 취약점을 악용하여 라우팅 계약에 사전 승인된 다양한 토큰 64만 달러 상당을 자신의 이름으로 전송했습니다.
먼저 이번 사건에 대한 취약점 분석 및 공격 과정을 살펴보겠습니다.
취약점 분석
0xb2bd16ab() 함수는 외부 토큰 계약을 임의로 호출하고 transferFrom() 메서드를 실행하는 데 사용되는 입력 매개 변수, 특히 varg 0 및 varg 4를 제대로 확인하지 않습니다.
공격 과정
공격은 베이징 시간으로 31일 12시 39분 23초에 시작해 31일 14시 9분 47초까지 이어졌다. 이 기간 동안,공격자는 22건의 공격 트랜잭션을 실행했습니다., 공격 계약 호출"0x5456a7bf()"Unibot 라우터 계약을 반복적으로 호출하는 메서드"0xb2bd16ab()"피해자의 주소에 있는 각종 토큰을 자신의 계좌로 이체하는 방법.
총 42개의 토큰이 라우터를 통해 364개의 피해자 주소에서 공격자에게 전송되었으며 공격자는 이후 토큰을 판매했습니다.총 355.5 ETH(약 $640,000)를 획득했습니다.
Unibot 팀은 나중에 새로운 라우터 계약을 배포하여 대응했습니다. 공식 X 계정에서는 모든 피해자에 대한 보상 계획도 발표했습니다. 현재 355.5 ETH가 모두 Tornado.Cash로 이전되었습니다.
텔레그램 봇
이 공격은 이전 Maestrobot 사건과 매우 유사합니다.10월 25일, CertiK Alert는 Telegram 로봇 프로젝트 Maestro Bots 라우터 계약이 공격을 받아 약 US$500,000의 손실을 입었다는 경고를 X 플랫폼에 발표했습니다.
텔레그램 봇은 Web3.0 세계에서 새롭게 떠오르는 분야로, 사용자는 토큰을 통합하면서 텔레그램 인터페이스를 통해 다양한 DeFi 작업을 수행할 수 있습니다. 그러나 진정한 혁신과 혼란스러운 환상을 구별하는 것은 점점 더 복잡해지고 있습니다.
CertiK 보안팀은 CoinGecko의 텔레그램 봇 토큰 목록에 있는 61개 프로젝트에 대해 연구를 수행했습니다.프로젝트의 거의 40%가 휴면 상태이거나 사기일 가능성이 있는 것으로 의심되는 것으로 나타났습니다., 또는 급격한 매도세에서 회복하지 못할 위험에 직면하게 됩니다. 이러한 플랫폼의 거래 메커니즘은 의심할 여지 없이 혁신적이지만, 많은 경우 중요한 기술 세부 정보, 특히 인앱 지갑 개인 키 관리에 대한 정보가 부족합니다. 사용자는 이러한 플랫폼에서 극도의 주의를 기울여 작업하고 상호 작용을 최소화하며 자산의 장기 저장을 피하는 것이 좋습니다.
Telegram 봇과 토큰에 대해 알아보세요
텔레그램 봇은 텔레그램 채팅 프로그램을 통해 실행되는 자동화된 프로그램입니다.그들은 거래를 수행하고, 사용자에게 시장 데이터를 제공하고, 소셜 미디어에 대한 정서를 평가하고, Telegram 인터페이스를 통해 시작된 실행 명령을 통해 스마트 계약과 상호 작용할 수 있습니다. 이러한 유형의 봇은 수년간 존재해 왔지만 최근 Telegram 봇 토큰의 출현으로 주목을 받았습니다.
Telegram Bot Token은 Telegram Bot에 통합된 기본 토큰으로 DEX 거래 실행, 지갑 전반의 포트폴리오 관리, Yield Farming 및 기타 DeFi와 관련된 실행 가능한 작업과 같은 다양한 거래 기능에 주로 사용됩니다. 이러한 토큰을 통해 사용자는 간단히 Telegram 인터페이스와 상호 작용함으로써 DeFi 전체에 연결할 수 있습니다.이러한 프로그램이 장기적으로 안전하고 기능적으로 유지될 수 있다면 DeFi의 전반적인 접근성에 상당한 영향을 미칠 수 있습니다.
올해 7월 20일 이후 이러한 토큰의 인기는 극적으로 증가했으며 일부 토큰은 1,000% 이상 상승했습니다. 이러한 추세는 Platform X(이전의 Twitter)에서 Web 3.0 통화 커뮤니티의 내러티브 공명에 의해 주도되는 Web 3.0 커뮤니티에서 흔히 발생하는 순환 열광을 반영합니다.
특히 유니봇이 부각된 이후에는 수많은 TBT가 등장했다. 2023년 8월 3일 현재, CoinGecko의 로봇 토큰 섹션에는 이러한 시스템이 61개 나열되어 있습니다.
서사적 교차로를 건너다
TBT(Telegram Bot Token)는 Web3.0 분야에서 독특한 위치를 차지하고 있습니다. X 플랫폼(이전의 Twitter)에서 Web 3.0 통화 애호가들은 종종 이를 유틸리티 토큰으로 논의합니다. 이전까지 실용적이라는 단어는 Web3.0 화폐 분야의 메타 내러티브와 연관되어 왔으며, 주로 인공 지능, 금융 기술, 물류, 국경 간 거래 등 전문 산업의 이야기를 포함합니다. TBT는 원래 혁신적인 사용자 인터페이스를 통해 거래 활동을 분산시키고 개선하는 것을 목표로 하는 유틸리티 내러티브로 개발되었습니다. 그러나 TBT는 실제로 하나의 실용적인 메타 서술을 넘어 다양한 밈과 비밈 서술에서 공명을 찾습니다.
한편, TBT 서사가 전개되면서,미니게임 밈 토큰을 둘러싼 주기적인 과대광고 등장, 특히 $HAMS라는 프로젝트입니다. $HAMS는 사용자가 햄스터 경주 라이브 스트림에 베팅할 수 있는 단기 밈 토큰입니다. 그러나 $HAMS는 커뮤니티 회원들이 운영자가 햄스터 비디오 영상을 재사용했다고 비난한 후 출시 직후 사망했습니다. 이로 인해 TBT라고도 알려진 다양한 게임 기념 토큰이 탄생했습니다. 토큰 중 하나는 $TETRIS라고 하며, 여기서 사용자는 플레이어 간 도박을 하고 테트리스 경쟁에 참여할 수 있습니다. 특정 게임 기념 토큰 간의 연결은 X 플랫폼에서 광범위한 언급을 통해 형성됩니다.
TBT 내러티브 크로스오버의 또 다른 예는 PAAL AI와 관련이 있습니다. 전용 밈은 아니지만 이 프로젝트는 ChatGPT와 유사한 Telegram 챗봇을 개발합니다. 토큰 및 프로젝트 구조도 다른 TBT 구조와 유사합니다. 당황스러운 점은 이 프로젝트가 텔레그램 챗봇을 만드는 것이 아니라 ChatGPT와 유사한 웹 인터페이스를 만드는 것 같다는 것입니다. 그러나 봇은 API를 통해 사용자의 개인 텔레그램 채널에 계속 통합될 수 있습니다.
CoinGecko의 TBT 분류
Unibot 출시 직후 CoinGecko는 TBT의 세부 목록을 출시했습니다. 이 목록은 원래 7월 20일경에 게시되었으며 약 30개의 코인이 포함되어 있습니다. 불과 몇 주 만에 그 숫자는 61명으로 늘어났습니다. 가격 모멘텀, 유동성 역학, 거래 활동 등 복합 지표를 포함한 다양한 방법을 사용하여 목록을 분석하고, 소멸 가능성이 높은지, 거래가 여전히 활발한지를 기준으로 프로젝트를 분류했습니다. 8월 현재의 구체적인 분포는 아래 막대 차트에 나와 있습니다.
이 61개 프로젝트 중 37개는 활성 프로젝트로, 24개는 종료되었거나 종료 가능성이 있는 프로젝트로 분류됩니다. 이러한 프로젝트는 85% 이상 하락했고 풀에 유동성이 거의 없거나 전혀 없으며 활동이 없거나 출구 사기일 가능성이 높습니다. 즉, 이 범주에 속하는 프로젝트의 거의 40%가 종료되었거나 복구가 불가능합니다.
텔레그램 봇 계정 등록 시 제공되는 지갑이 자동으로 생성되며, 추후 프라이빗 키가 제공된다는 점을 참고할 필요가 있습니다. Unibot은 이러한 개인 키가 로컬로 또는 서버 뒤에 저장되는 방법과 위치를 지정하지 않았습니다.이는 자금을 거래하고 저장하는 데 이러한 텔레그램 봇을 사용하는 것이 매우 위험하다는 것을 의미합니다.
텔레그램과 통합되지 않은 프로젝트
연구 과정에서 우리는 TBT로 나열된 일부 프로젝트가 토큰을 텔레그램에 통합하지 않았거나 텔레그램 거래 봇이 없고 일반 텔레그램 커뮤니티 채널만 있다는 것을 발견했습니다. 일부 프로젝트에는 Unibot과 동일한 기능을 갖춘 외부 DApp이 있으며, 다른 프로젝트의 로드맵에는 향후 Telegram 통합이 구현될 것으로 나와 있습니다.
다른 프로젝트에는 이러한 기능이 없지만 이 목록에 있는 프로젝트의 존재는 앞서 언급한 교차 내러티브를 나타낼 수 있습니다. 이러한 프로젝트는 CoinGecko에 신청서를 제출할 때 TBT 유형 프로젝트로 자체 식별될 수 있으며 통합 또는 향후 통합 목표를 나타낼 수 있습니다. 우리는 프로젝트가 실제로 할당된 카테고리와 아무런 관련이 없더라도 내러티브 과대광고가 특정 토큰 카테고리를 증폭시킬 수 있는 방법을 살펴보았습니다. 심지어 일부 토큰은 밈과 같은 방식으로 존재하기도 했습니다. 우리의 분석에 따르면, 이러한 유형의 서사적 과대광고의 영향력은 위의 차이를 부분적으로 설명할 만큼 엄청납니다.
마지막에 쓰세요
디지털 통화 커뮤니티에서 새로운 이야기가 유행할 때마다 유사한 프로젝트가 계속해서 동일한 이야기로 게시되며, 그 중 다수는 출구 사기이거나 투자자의 자산을 훔치려는 시도이며 이 점에서 TBT도 예외는 아닙니다.
TBT의 개발은 DeFi 커뮤니티에게 독특한 혁신이 될 수 있습니다. 이러한 토큰의 유용성은 불분명하지만 유사한 플랫폼의 출현은 투자자에게 거래 전략에 데이터를 집계할 수 있는 새로운 방법을 제공합니다.그러나 사용자는 이러한 플랫폼에 대해 매우 주의해야 합니다.
TBT 분야의 경우 밈을 통해 프로젝트가 존재하고 하루아침에 그 가치가 사라질 수 있으므로 신중하고 정보를 바탕으로 참여하는 태도를 유지해야 합니다. 많은 프로젝트가 사용자에게 지갑 키가 저장되는 위치와 생성 방법에 대한 명확한 문서를 제공하지 못하므로 알려지지 않은 엄청난 위험이 있습니다.
사용자는 이러한 플랫폼을 저장용으로 사용하는 것을 고려해서는 안 됩니다.또한 사용자는 외부 지갑을 이러한 플랫폼에 연결하거나 이러한 프로젝트에서 생성된 웹사이트와 상호 작용할 때 주의를 기울여야 합니다.