Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

原创 | Odaily星球日报

作者 | 秦晓峰

Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

今天下午,多位社区成员反应,Telegram Bot 项目Unibot遭遇攻击。根据Scopescan监测,攻击者从Unibot用户处转移代币,并正在将其兑换成ETH,目前损失已超过 100 万美元。

消息一出,代币UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40%,目前暂报 39.5 USDT。

Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

安全公司:尽快取消授权

安全机构BlockSecTeam 分析认为,由于代码未开源,怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证,从而允许任意调用。因此,攻击者可以调用“transferFrom”来转出合约中批准的代币。BlockSecTeam 提醒用户,尽快撤销合约批准,并将资金转移到新钱包。

Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于CAll 注入,攻击者可以将自定义的恶意调用数据传递到 0xb2bd16ab合约中,从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。攻击相关地址如下:https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04

黑客蛰伏半年进行攻击

本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据Scopescan监测,黑客在Unibot启动一周后,从FixedFloat(混币器)收到1枚ETH做为此次攻击的Gas,此后半年再没有相关动作,直到今日进行攻击。

不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。

链上信息显示,黑客钱包地址今日共计收入资产总价值 128 万美元(即用户损失),目前剩余 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下

Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到20,789 个的 USDC,花了 1000 美元购买了 SMilk,剩余价值 19,789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以2,194 美元的价格卖出 SMilk,赚了 1,194 美元(收益率 120%);一个小时后,最后剩下的 2194 美元的 USDC 又被偷了。

路由器出现漏洞,攻击仍在持续

Unibot 官方发布公告称,本次攻击主要是新的路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该漏洞造成的任何资金损失都将得到补偿,Unibot 将在调查结束后发布详细答复。

Unibot遭攻击损失超50万美元,TG BOT安全性遭受质疑

社区用户@tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0x126 Router 获得批准的 addys 处获取资金,用户资金仍存在风险。

Scopescan 也发文表示,出现了新的 Unibot 攻击者,部署了与此前攻击者相同的合约,正在盗取用户资金。

BOT产品安全存疑

Unibot是一款流行的新型Telegram Bot,允许用户无需离开Telegram应用即可交易加密货币货币。 该机器人易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于DEX的限价订单以及针对MEV机器人的防护。

根据CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二;Maestro 排名第一,累计收益 1.32 万枚 ETH;Banana Gun 排名第三,收益为 1940 枚ETH。

不过,BOT 产品也存在较大安全隐患,特别是最近Maestro合约也出现同样的路由器漏洞,损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 ( https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e… ) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/94008.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年10月31日
下一篇 2023年10月31日

相关推荐

  • 合约倍数是什么意思,合约里的倍数是什么意思

    一、合约里的倍数是什么意思合约里的倍数是指交易金额相对于标的物的数量的放大程度。详细解释如下:在金融业务中,合约通常指的是金融衍生品合约,如期货、期权等。这些合约允许投资者通过少量现金投入,就能参与到大量的标的资产交易中。倍数在这里起到了关键作用,它代表了

    2024-12-23 10:00:01
    0 0
  • 比特币怎么做期货,什么是比特币期货合约

    一、币圈包括期货吗币圈里面的期货不能叫期货,因为这不是正经的合规合法的期货,所以叫了一段时间后,被币圈里面的人改了名字,现在币圈里面的期货都叫“合约”。但是长时间那么叫也习惯了,异客在这里就暂时先不改这称呼了,毕竟换汤不换药,大家都知道是什么回事。异客一直

    2024-12-22 19:00:01
    4 0
  • 永续合约什么情况下爆仓,永续合约爆仓了会欠钱吗

    一、永续合约会爆仓吗永续合约会通过自动减仓来减少对手的盘仓位,这样就降低了市场风险。同时永续合约的价格设计机制,也让其不容易被恶意爆仓,但是永续合约也会爆仓,只不过没有分摊和插针。所以永续合约投资并不是没有爆仓的风险,就看投资者怎么去操作了。二、永续合约爆

    2024-12-22 16:00:01
    2 0
  • 虚拟币区块怎么查询,如何查区块链合约地址信息

    一、怎么查询所有区块链公链公链在哪里查询公链在浏览器查询。随着区块链的大热,越来越多的科技公司开始研究和开发区块链。在区块链迅速发展的同时,也有少部分项目方打着区块链的名号,在市面上进行招摇撞骗。如何判断公链真假,对于现在许多想要进行数字货币交易的群体来说

    2024-12-22 04:30:01
    4 0
  • hotcoin交易平台是什么,Hotcoin是什么合约交易所

    一、热币Hotcoin交易所靠不靠谱1. Hotcoin(热币)交易所是一个靠谱的平台,拥有全球最大的用户增长之一。2.该平台专注于提供数字资产兑换交易服务,并且致力于区块链技术的创新与研发。3. Hotcoin旨在为全球用户提供一个安全、便捷、高效的数字资产兑换环境,努力成为全球领

    2024-12-20 10:00:01
    6 0
  • usdt现货是什么意思,usdt永续合约是什么意思

    一、砸盘吸筹是什么意思庄家坐庄时的巨大资金要想悄无声息地就进驻到某一只上市公司股票中,也非一日一时之功。往往需要在相对的价格低位上反复震荡,或者通过长期横盘的方式令短线客忍无可忍.最后敬而远之:或者通过上蹄下跳的股价跳跃方式引诱散户难耐寂寞而低抛高吸,使之最

    2024-12-18 02:30:01
    10 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载