避免洩露個人資訊、匯款或點擊可疑鏈接至關重要。
作者:veDAO
著名的 Telegram 交易工具 Unibot 成為了不斷擴大的一系列加密貨幣被攻擊事件中的最新受害者。
Unibot 承認在 10 月 31 日遭受了攻擊,原因是在新路由器中出現了代幣批准的漏洞。 Unibot 官方發佈公告稱:“在新路由器中出現了代幣批准的漏洞,Unibot 已暫停了新路由器以解決這個問題。 由於新路由器的錯誤而造成的任何資金損失都將得到補償; 使用者的金鑰和錢包是安全的,將在調查結束後發佈詳細回應。 據悉該漏洞造成了超過 630,000 美元的損失。 本篇,veDAO 研究院將帶來該事件的具體消息,以及如何保護自己在 Telegram 上的資產安全的建議。
Unibot 被攻擊的始末
10 月 31 日,區塊鏈分析公司 Scopescan 通知 Unibot 的使用者,稱該平臺正在遭受一次正在進行但未被發現的攻擊事件,Unibot 的一個最新部署的合約上的漏洞導致了多個使用者的加密貨幣餘額被清空。
隨後,Unibot 發佈了文章開頭提到的公告,透露了被駭客攻擊的第一批細節,並確認了是由於新路由器中出現了代幣批准的漏洞導致遭受攻擊。
Scopescan 敦促使用者取消對被利用合約(0x126c9FbaB3A2FCA24eDfd17322E71a5e36E91865)的批准,並將資金轉移到新錢包,以配合 Unibot 和區塊鏈調查人員的持續調查。
Unibot 承諾將賠償所有因合同漏洞造成財務損失的使用者。 此次攻擊從日期:31 日 12:39:23 開始,持續到了 31 日的 14:09:47。 在此期間,攻擊者執行了 22 次攻擊交易,總共有 42 種代幣通過路由器從 364 個受害者地址轉移到了攻擊者手中,漏洞利用者隨後出售了這些代幣,獲得總計 355.5 ETH。 目前所有 355.5ETH 已被轉入 Tornado.Cash。 根據每周交易統計數據,其中包括 Joe(JOE)、UNIBOT 和 BeerusCat(BCAT)等加密貨幣。
UNIBOT 跌幅近 40%
雖然 Unibot 官方已承諾賠償損失,但受到駭客消息影響,UNIBOT 仍出現暴跌的情況。 根據 CoinMarketCap 數據顯示,UNIBOT 事發後從 58.34 美元暴跌至最低 35.94 美元,最大跌幅高達 38%,後續稍有回升,在 42 美元徘徊。 值得注意的是,儘管恐慌性拋售量強勁,但巨鯨和聰明錢還是藉機大量抄底吸納了更多 UNIBOT。
後續
11 月 1 日,Unibot 在 Telegram 發佈公告稱,昨日的漏洞已得到完全解決,已恢復到舊路由器; Unibot 目前已經安全且能正常運行。 然而受損使用者的資產退還需要一些時間:Unibot 目前正進行最後幾輪的類比,意圖通過額外的措施,來確保徹底退還使用者的代幣。 該公告稱,由於受到漏洞影響的代幣種類超過 100 種,因此退款過程比預期的要長。 由於這些代幣在規模和流動性方面各不相同,所以退款最終將以不同代幣+ETH 的混合形式進行。
什麼是 Unibot?
Unibot 是一個內置在 Telegram 的交易工具機器人,使用者在 Telegram 內與機器人以對話的形式發佈交易指令就可完成鏈上代幣在 Uniswap 上的交易活動,如代幣兌換、跟單交易、限價訂單、隱私交易等。 Unibot 在 Telegram 上因其易用的介面而備受歡迎。 簡而言之,Unibot 允許使用者無需離開聊天 App 的情況下在切換不同代幣。 然而,使用者也可以利用 MEV 保護交易並複製其他交易者的交易方案。 該 App 的原生代幣在 8 月中旬曾飆升至驚人的 236 美元,其受歡迎的程度可見一斑。
veDAO – Web3 Investment Guide – Accurately Capturing Alpha for a Hundredfold Returnapp.vedao.com
Telegram 機器人
除了 Unibot,還有很多 Telegram 機器人,像 Mizar、Banana Gun、Maestro 和 Wagie Bot 等都擁有很多使用者。 Telegram 機器人是通過 Telegram 聊天程式運行的自動化程式。 它們可以進行交易、向使用者提供市場數據、評估社交媒體上的情緒,並通過 Telegram 介面發起的執行命令與智慧合約進行交互。 這種類型的機器人已存在多年,但近年來它們隨著 Telegram 機器人代幣的出現而備受關注。
Telegram 機器人代幣是集成到 Telegram 機器人中的原生代幣,主要用於多樣化的交易功能,如執行 DEX 交易、跨錢包管理投資組合、流動性挖礦以及其他與 DeFi 相關的操作。 這些代幣本質上允許使用者僅通過與 Telegram 介面的交互就能對接整個 DeFi。
今年 7 月末開始,這些代幣的受歡迎程度急劇上升,一些代幣的漲幅甚至超過了 1000%。 尤其是 Unibot 嶄露頭角之後,又湧現出了大量 Telegram 機器人代幣。 目前,CoinMarketCap 上收錄了 73 個 Telegram 機器人代幣。
Unibot – 加密安全隱患的新問題
Unibot 這次的漏洞,意味著其智能合約存在許可權缺陷,可能導致使用者的代幣被移動到指定限制之外或進行未經授權的訪問,從而引起了人們的擔憂。
在將被盜走的資產轉移到 Tornado.Cash 之前,攻擊者首先將它們轉移到了去中心化交易所 Uniswap。 在加密世界中,Tornado.Cash 經常成為引人注目的駭客攻擊和漏洞利用的中心。 該協議開發團隊的幾位成員在今年 8 月被指控協助駭客洗錢,涉及的金額超過了 10 億美元,其中包括來自朝鮮的企業。 與逮捕和隨後的處罰之前相比,使用該隱私協定的人數減少了 90%。
在 Unibot 遭受襲擊之前的一周,一些 LastPass 用戶報告稱,他們在加密貨幣中損失了 440 萬美元。 安全專家指出,這可能是由於去年 12 月的一個 LastPass 漏洞,儘管在過去的十個月里頻繁的漏洞讓許多人感到困惑,因為它們似乎沒有規律可循。
加密貨幣領域的另一個主要弱點是能夠讓使用者在不相容的網路之間轉移資產的區塊鏈間的跨鏈橋。 依賴於 Optimism 的借貸平臺 Exactly 在今年 8 月被盜,損失達 700 萬美元。 像 Axie Infinity 的 Ronin 跨鏈橋在 2022 年 3 月被駭客利用,造成了約 6.22 億美元的損失; 此外還有 Wormhole 加密貨幣平臺的漏洞事件,駭客從中竊取了驚人的 3.2 億美元。
這些事件不斷地提醒人們,在加密貨幣持續向主流市場發展的過程中,這些安全問題是無法迴避的困難。
如何在 Telegram 上保護資產安全
Telegram 已經成為加密貨幣社區中最常用的消息傳遞程式之一。 每個重要的區塊鏈專案和加密貨幣社區都有一個 Telegram 帳戶,他們在那裡創建頻道和群組,以鼓勵互動和社區建設。 Telegram 的廣泛使用使它成為了加密貨幣愛好者瞭解更多資訊、討論他們喜愛的專案的寶貴工具,但它也引來了駭客的關注。
我們來梳理下在 Telegram 上有哪些常見的加密貨幣詐騙方式,以及如何保護資產安全:
釣魚和消息詐騙
在 Telegram 上,釣魚採取 “Smishing”(短信釣魚)的形式。 其目的是提取敏感數據,通常是針對高知名度人士的「鯨魚」或「魚叉式釣魚」攻擊。
在 Telegram 上的釣魚詐騙,通常是通過發資訊來進行釣魚。 有廣撒網式的、向盡可能多的人發送惡意欺騙資訊。 更多的是目標為提取敏感數據的「魚叉式網路釣魚(spear phishing)」和「鯨釣攻擊(whaling)」,用於針對組織和知名人士。
平臺外詐騙
這些詐騙會引誘使用者離開平臺並點擊鏈接,從而可能誘騙使用者共用個人資訊或下載惡意軟體。
模仿詐騙
詐騙者創建假的 Telegram 頻道或群組,模仿真實的頻道,使用戶相信他們是真正社區的一部分。 你可以通過在設置中啟用僅限管理員發佈並限制誰可以將你添加到頻道,來驗證頻道的真實性。
冒充加密專家
Telegram 上的詐騙者冒充加密專家,並承諾能提高你的收益。 他們通常在收集用戶的登錄資訊后就立馬消失。
拉高出貨計劃
這些詐騙活動宣傳可能對價格產生影響的事件,敦促用戶進行投資或出售。 在私人消息中接收陌生投資建議時務必要小心。
Telegram 機器人
儘管 Telegram 機器人可能很有用,但一些駭客創建了假的機器人。 避免那些急於讓您採取行動的機器人,檢查它們的電話號碼、發佈的內容,永遠不要分享敏感資訊。
技術支持詐騙
詐騙者會在 Telegram 頻道中冒充支持人員。 切勿與所謂的支持人員分享機密資訊,無論他們是機器人還是真人。
虛假贈品
要警惕那些要求你提供銀行詳細資訊,或是要求你支付費用以領取獎品的贈品,因為這些很可能是詐騙。
由於 Telegram 上幾乎囊括了絕大多數的加密貨幣專案,各種社群多如牛毛,因此騙子將其視為一個吸引人的平臺。 因此,避免泄露個人資訊、匯款或點擊可疑鏈接至關重要。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 本文內容僅用於資訊分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
