原创 | Odaily星球日报

作者 | 秦晓峰

今天下午，多位社区成员反应，Telegram Bot 项目Unibot遭遇攻击。根据Scopescan监测，攻击者从Unibot用户处转移代币，并正在将其兑换成ETH，目前损失已超过 100 万美元。

消息一出，代币UNIBOT 从 55 USDT 最低跌至 33 USDT，最大跌幅 40%，目前暂报 39.5 USDT。

安全公司：尽快取消授权

安全机构BlockSecTeam 分析认为，由于代码未开源，怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证，从而允许任意调用。因此，攻击者可以调用“transferFrom”来转出合约中批准的代币。BlockSecTeam 提醒用户，尽快撤销合约批准，并将资金转移到新钱包。

Beosin 安全团队分析认为，Unibot 被攻击的根本原因在于CAll 注入，攻击者可以将自定义的恶意调用数据传递到 0xb2bd16ab合约中，从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪，同时 Beosin 提醒用户可在 Revoke 上取消钱包授权，链接：https://revoke.cash/。攻击相关地址如下：https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04

黑客蛰伏半年进行攻击

本次 Unibot 一个蹊跷点在于，黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据Scopescan监测，黑客在Unibot启动一周后，从FixedFloat（混币器）收到1枚ETH做为此次攻击的Gas，此后半年再没有相关动作，直到今日进行攻击。

不少加密社区用户猜测，这次攻击可能是 Unibot 内部人士作恶，因为事故发生时间非常巧合，正好是 Unibot 更换新合约后的窗口期（两天前才升级的新合约），黑客轻易地找到了合约漏洞。

链上信息显示，黑客钱包地址今日共计收入资产总价值 128 万美元（即用户损失），目前剩余 63 万美元，剩余资产占比最多的是 ETH，约为 57.3 万美元，其他被盗资产涉及币种情况如下

另外根据 Lookonchain 监测，本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到20,789 个的 USDC，花了 1000 美元购买了 SMilk，剩余价值 19,789 美元的 USDC 被攻击者偷走了，但该用户还没有注意到。今天下午，该用户以2,194 美元的价格卖出 SMilk，赚了 1,194 美元（收益率 120%）；一个小时后，最后剩下的 2194 美元的 USDC 又被偷了。

路由器出现漏洞，攻击仍在持续

Unibot 官方发布公告称，本次攻击主要是新的路由器（router）出现代币批准漏洞，目前已经暂停了路由器；由于该漏洞造成的任何资金损失都将得到补偿，Unibot 将在调查结束后发布详细答复。

社区用户@tomkysar 表示，针对 Unibot 的攻击仍在持续，两个攻击者地址似乎仍然能够从 0x126 Router 获得批准的 addys 处获取资金，用户资金仍存在风险。

Scopescan 也发文表示，出现了新的 Unibot 攻击者，部署了与此前攻击者相同的合约，正在盗取用户资金。

BOT产品安全存疑

Unibot是一款流行的新型Telegram Bot，允许用户无需离开Telegram应用即可交易加密货币货币。 该机器人易于使用、交易速度快，并提供多种功能，例如去中心化跟单交易、基于DEX的限价订单以及针对MEV机器人的防护。

根据CoinGecko 数据，UniBOT 自成立至今，收益为 8950 枚 ETH，位列所有 BOT 产品第二；Maestro 排名第一，累计收益 1.32 万枚 ETH；Banana Gun 排名第三，收益为 1940 枚ETH。

不过，BOT 产品也存在较大安全隐患，特别是最近Maestro合约也出现同样的路由器漏洞，损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 ( https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e… ) 上已获得批准的任何代币。最终，Maestro 选择赔付用户部分损失。