今天下午,多位社区成员反应,Telegram Bot 项目Unibot遭遇攻击。根据Scopescan监测,攻击者从Unibot用户处转移代币,并正在将其兑换成ETH,目前损失已超过 60 万美元。

消息一出,代币UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40%,目前暂报 39.5 USDT。

安全公司:尽快取消授权

安全机构BlockSecTeam 分析认为,由于代码未开源,怀疑是 0x126c 合约中的函数 0xb2bd16ab 缺乏输入验证,从而允许任意调用。因此,攻击者可以调用「transferFrom」来转出合约中批准的代币。BlockSecTeam 提醒用户,尽快撤销合约批准,并将资金转移到新钱包。

Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于CAll 注入,攻击者可以将自定义的恶意调用数据传递到 0xb2bd16ab 合约中,从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。攻击相关地址如下:https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04

黑客蛰伏半年进行攻击

本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据Scopescan监测,黑客在Unibot启动一周后,从FixedFloat(混币器)收到1枚ETH做为此次攻击的Gas,此后半年再没有相关动作,直到今日进行攻击。

不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。

链上信息显示,黑客钱包地址目前剩余资产约 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下

另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到20,789 个的 USDC,花了 1000 美元购买了 SMilk,剩余价值 19,789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以2,194 美元的价格卖出 SMilk,赚了 1,194 美元(收益率 120%);一个小时后,最后剩下的 2194美元的 USDC 又被偷了。

路由器出现漏洞,攻击仍在持续

Unibot 官方发布公告称,本次攻击主要是新的路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该漏洞造成的任何资金损失都将得到补偿,Unibot 将在调查结束后发布详细答复。

社区用户 @tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0x126 Router 获得批准的 addys 处获取资金,用户资金仍存在风险。

BOT产品安全存疑

Unibot是一款流行的新型Telegram Bot,允许用户无需离开Telegram应用即可交易加密货币货币。该机器人易于使用、交易速度快,并提供多种功能,例如去中心化跟单交易、基于DEX的限价订单以及针对MEV机器人的防护。

根据CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二;Maestro 排名第一,累计收益 1.32 万枚 ETH;Banana Gun 排名第三,收益为 1940 枚ETH。

不过,BOT 产品也存在较大安全隐患,特别是最近Maestro合约也出现同样的路由器漏洞,损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 ( https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e… ) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。