Ngày 31 tháng 10 năm 2023 12:39:23 giờ Bắc Kinh,Unibot bị khai thác độc hại và mất tài sản trị giá 640.000 USD.Kẻ tấn công đã khai thác lỗ hổng cuộc gọi tùy ý trong hợp đồng bộ định tuyến Unibot để chuyển các mã thông báo khác nhau trị giá 640.000 USD được ủy quyền trước cho hợp đồng định tuyến sang tên của chính hắn.
Trước tiên chúng ta hãy hiểu quá trình phân tích lỗ hổng và tấn công của sự cố này.
Phân tích lỗ hổng
Hàm 0xb2bd16ab() không kiểm tra chính xác các tham số đầu vào, cụ thể là varg 0 và varg 4, được sử dụng để gọi tùy ý hợp đồng mã thông báo bên ngoài và thực thi phương thức transferFrom().
Quá trình tấn công
Cuộc tấn công bắt đầu lúc 12:39:23 ngày 31 giờ Bắc Kinh và kéo dài đến 14:09:47 ngày 31. Trong giai đoạn này,Kẻ tấn công đã thực hiện 22 giao dịch tấn công, gọi hợp đồng tấn công"0x5456a7bf()"phương thức liên tục gọi hợp đồng bộ định tuyến Unibot"0xb2bd16ab()"phương pháp chuyển các token khác nhau từ địa chỉ của nạn nhân sang tài khoản của chính anh ta.
Tổng cộng 42 token đã được chuyển qua bộ định tuyến từ 364 địa chỉ nạn nhân đến những kẻ tấn công, những kẻ sau đó đã bán token,Kiếm được tổng cộng 355,5 ETH (khoảng 640.000 USD).
Nhóm Unibot đã phản hồi sau đó bằng cách triển khai hợp đồng bộ định tuyến mới. Trên tài khoản X chính thức của mình, họ cũng công bố kế hoạch bồi thường cho tất cả nạn nhân. Hiện tại tất cả 355,5 ETH đã được chuyển sang Tornado.Cash.
bot điện tín
Cuộc tấn công này rất giống với các sự cố Maestrobot trước đây.Vào ngày 25 tháng 10, CertiK Alert đã đưa ra cảnh báo trên nền tảng X rằng hợp đồng bộ định tuyến Maestro Bots của dự án robot Telegram đã bị tấn công, dẫn đến thiệt hại khoảng 500.000 USD.
Bot Telegram là một lĩnh vực mới nổi trong thế giới Web3.0, cho phép người dùng thực hiện nhiều hoạt động DeFi khác nhau thông qua giao diện Telegram đồng thời tích hợp mã thông báo vào đó. Tuy nhiên, việc phân biệt sự đổi mới thực sự với những ảo tưởng khó hiểu đang ngày càng trở nên phức tạp.
Nhóm bảo mật CertiK đã tiến hành nghiên cứu 61 dự án trong danh sách mã thông báo bot Telegram của CoinGecko,Người ta phát hiện ra rằng gần 40% dự án bị nghi ngờ là không hoạt động và có thể là lừa đảo.hoặc đối mặt với nguy cơ không thể phục hồi sau đợt bán tháo mạnh. Cơ chế giao dịch của các nền tảng này chắc chắn là có tính đổi mới, nhưng nhiều cơ chế thiếu các chi tiết kỹ thuật quan trọng, đặc biệt là thông tin về quản lý khóa riêng của ví trong ứng dụng. Chúng tôi khuyên người dùng nên hết sức thận trọng khi vận hành trên các nền tảng này, giảm thiểu tương tác với chúng và tránh lưu trữ tài sản lâu dài.
Tìm hiểu về bot Telegram và token của nó
Bot Telegram là các chương trình tự động chạy qua chương trình trò chuyện Telegram.Họ có thể thực hiện các giao dịch, cung cấp dữ liệu thị trường cho người dùng, đánh giá tâm lý trên mạng xã hội và tương tác với các hợp đồng thông minh thông qua các lệnh thực thi được khởi tạo thông qua giao diện Telegram. Các bot loại này đã xuất hiện trong nhiều năm, nhưng chúng mới thu hút được sự chú ý trong những năm gần đây với sự xuất hiện của mã thông báo bot Telegram.
Mã thông báo Telegram Bot là mã thông báo gốc được tích hợp vào Telegram Bot và chủ yếu được sử dụng cho các chức năng giao dịch đa dạng như thực hiện giao dịch DEX, quản lý danh mục đầu tư trên các ví, Yield Farming và các hoạt động khả thi khác liên quan đến DeFi. Về cơ bản, các mã thông báo này cho phép người dùng kết nối với toàn bộ DeFi chỉ bằng cách tương tác với giao diện Telegram.Nếu các chương trình này có thể duy trì tính an toàn và hoạt động trong thời gian dài, nó có thể có tác động đáng kể đến khả năng tiếp cận chung của DeFi.
Sau ngày 20 tháng 7 năm nay, mức độ phổ biến của các token này đã tăng lên đáng kể, với một số token tăng hơn 1.000%. Xu hướng này phản ánh cơn hưng cảm theo chu kỳ phổ biến trong cộng đồng Web 3.0, được thúc đẩy bởi sự cộng hưởng tường thuật của cộng đồng tiền tệ Web 3.0 trên Nền tảng X (trước đây là Twitter).
Đặc biệt sau khi Unibot nổi lên, một số lượng lớn TBT đã xuất hiện. Tính đến ngày 3 tháng 8 năm 2023, phần Robot Token của CoinGecko đã liệt kê 61 hệ thống như vậy.
Vượt qua ngã tư tường thuật
TBT (Telegram Bot Token) chiếm một vị trí độc nhất trong lĩnh vực Web3.0. Trên nền tảng X (trước đây là Twitter), những người đam mê tiền tệ Web 3.0 thường thảo luận về chúng như những token tiện ích. Trước đây, từ “thực tế” thường gắn liền với các siêu truyện trong lĩnh vực tiền tệ Web3.0, thường liên quan đến những câu chuyện trong các ngành chuyên nghiệp như trí tuệ nhân tạo, công nghệ tài chính, hậu cần và giao dịch xuyên biên giới. TBT ban đầu được phát triển với câu chuyện “tiện ích”, nhằm mục đích phân cấp và cải thiện hoạt động giao dịch thông qua giao diện người dùng sáng tạo. Tuy nhiên, TBT thực sự vượt xa một siêu tự sự thực dụng duy nhất, tìm thấy sự cộng hưởng trong nhiều câu chuyện meme và không meme.
Trong khi đó, khi câu chuyện về TBT phát triển,Sự cường điệu định kỳ xung quanh các token meme trò chơi nhỏ xuất hiện, cụ thể là dự án có tên $HAMS. $HAMS là mã thông báo meme tồn tại trong thời gian ngắn cho phép người dùng đặt cược vào các buổi phát trực tiếp cuộc đua hamster. Tuy nhiên, $HAMS đã chết ngay sau khi ra mắt sau khi các thành viên cộng đồng cáo buộc nhà điều hành sử dụng lại cảnh quay video về hamster. Điều này đã tạo ra nhiều loại token kỷ niệm trò chơi khác, còn được gọi là TBT. Một trong những token có tên là “$TETRIS”, nơi người dùng có thể đánh bạc và tham gia các cuộc thi Tetris giữa những người chơi. Sự kết nối giữa các mã thông báo kỷ niệm trò chơi nhất định được hình thành thông qua việc đề cập rộng rãi trên nền tảng X.
Một ví dụ khác về sự kết hợp tường thuật TBT liên quan đến PAAL AI. Mặc dù đây không phải là một meme chuyên dụng nhưng dự án đã phát triển một chatbot Telegram tương tự như ChatGPT. Cấu trúc mã thông báo và dự án cũng tương tự như các cấu trúc TBT khác. Điều khó hiểu là dự án dường như không tạo ra một chatbot Telegram mà là một giao diện web giống ChatGPT. Tuy nhiên, bot vẫn có thể được tích hợp vào kênh Telegram cá nhân của người dùng thông qua API.
Phân loại TBT của CoinGecko
Ngay sau khi ra mắt Unibot, CoinGecko đã đưa ra danh sách chi tiết về TBT. Danh sách ban đầu được xuất bản vào khoảng ngày 20 tháng 7 và chứa khoảng 30 đồng tiền. Chỉ trong vài tuần, con số đó đã tăng lên 61. Chúng tôi đã phân tích danh sách bằng nhiều phương pháp khác nhau, bao gồm các chỉ số tổng hợp như đà giá, động lực thanh khoản và hoạt động giao dịch, đồng thời phân loại các dự án dựa trên việc chúng có khả năng chết hay giao dịch vẫn còn hoạt động. Mức phân bổ cụ thể tính đến tháng 8 được thể hiện trong biểu đồ thanh bên dưới:
Trong số 61 dự án này, chúng tôi phân loại 37 dự án đang hoạt động và 24 dự án đã chết hoặc có khả năng chết. Các dự án này giảm hơn 85%, có ít hoặc không có tính thanh khoản trong nhóm và không có hoạt động nào hoặc rất có thể là các trò gian lận thoát. Tức là gần 40% dự án thuộc loại này đã chết hoặc khó có khả năng phục hồi.
Điều đáng nói là ví được cung cấp khi đăng ký tài khoản bot Telegram được tạo tự động và khóa riêng sẽ được cung cấp sau. Unibot không chỉ định cách thức và vị trí các khóa riêng tư này được lưu trữ cục bộ hay phía sau máy chủ.Điều này có nghĩa là việc sử dụng các bot Telegram này cho cả giao dịch và lưu trữ tiền là cực kỳ nguy hiểm.
Các dự án không được tích hợp với Telegram
Trong quá trình nghiên cứu, chúng tôi phát hiện ra rằng một số dự án được liệt kê là TBT không tích hợp mã thông báo của họ vào Telegram hoặc không có bot giao dịch Telegram mà chỉ có các kênh cộng đồng Telegram thông thường. Một số dự án có DApp bên ngoài có chức năng tương tự như Unibot và lộ trình của các dự án khác cho thấy việc tích hợp Telegram sẽ được triển khai trong tương lai.
Các dự án khác không có những tính năng này, nhưng sự hiện diện của chúng trong danh sách này có thể là dấu hiệu của những câu chuyện đan xen mà chúng tôi đã đề cập trước đó. Các dự án này có thể tự xác định là dự án loại TBT khi gửi đơn đăng ký tới CoinGecko và cho biết mục tiêu tích hợp hoặc tích hợp trong tương lai. Chúng tôi đã thấy cách cường điệu tường thuật có thể khuếch đại một số danh mục mã thông báo nhất định, với một số mã thông báo thậm chí còn tồn tại theo cách “giống như meme”, ngay cả khi dự án thực sự không liên quan gì đến danh mục mà nó được chỉ định. Theo phân tích của chúng tôi, tác động của kiểu tường thuật cường điệu này đủ lớn để giải thích một phần sự khác biệt trên.
viết ở cuối
Bất cứ khi nào một câu chuyện mới xuất hiện trong cộng đồng tiền kỹ thuật số, một loạt dự án tương tự sẽ tiếp tục được xuất bản với cùng một câu chuyện, nhiều dự án trong số đó là lừa đảo rút lui hoặc cố gắng đánh cắp tài sản của nhà đầu tư và TBT cũng không ngoại lệ trong vấn đề này.
Sự phát triển của TBT có thể là một sự đổi mới độc đáo đối với cộng đồng DeFi. Mặc dù tiện ích của các token như vậy vẫn chưa rõ ràng nhưng sự xuất hiện của các nền tảng tương tự mang đến cho nhà đầu tư những cách mới để tổng hợp dữ liệu vào chiến lược giao dịch.Tuy nhiên, người dùng nên hết sức thận trọng với những nền tảng này.
Trong lĩnh vực TBT, các dự án tồn tại thông qua meme và giá trị của chúng có thể biến mất chỉ sau một đêm, điều này đòi hỏi chúng ta phải duy trì thái độ tham gia thận trọng và đầy đủ thông tin. Nhiều dự án không cung cấp tài liệu rõ ràng cho người dùng về nơi lưu trữ khóa ví của họ và cách chúng được tạo ra, do đó có những rủi ro rất lớn chưa được biết đến.
Người dùng không nên cân nhắc việc sử dụng các nền tảng này để lưu trữ.Người dùng cũng nên thận trọng khi liên kết ví bên ngoài với các nền tảng này hoặc tương tác với các trang web do các dự án này tạo ra.
