北京时间 2023 年 10 月 31 日 12: 39: 23 ,Unibot 发生漏洞恶意利用,损失了 64 万美元的资产。攻击者利用 Unibot 路由器合约中的“arbitrary call”漏洞,将价值 64 万美元的各种预先授权给路由合约的代币转移到自己名下。
让我们先来了解一下此次事件的漏洞分析和攻击过程。
漏洞分析
函数 0xb2bd16ab()未正确检查输入参数,特别是 varg 0 和 varg 4 ,这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。
攻击过程
攻击从北京时间 31 日 12: 39: 23 开始,持续到了 31 日的 14: 09: 47 。在此期间,攻击者执行了 22 次攻击交易,调用了攻击合约上的"0x5456a7bf()"方法,该方法反复调用 Unibot 路由器合约中的"0xb2bd16ab()"方法,将各种代币从受害者地址转移到自己的账户。
总共有 42 种代币通过路由器从 364 个受害者地址转移到了攻击者手中,漏洞利用者随后出售了这些代币,获得总计 355.5 ETH(约合 64 万美元)。
Unibot 团队稍后做出回应,部署了新的路由器合约。在其官方 X 账号中他们还宣布了对所有受害者的赔偿计划。目前所有 355.5 ETH 已被转入 Tornado.Cash。
Telegram 机器人
此次攻击与此前的 Maestrobot 事件非常相似。10 月 25 日,CertiK Alert 即在 X 平台发布警告称,Telegram 机器人项目 Maestro Bots 路由器合约遭受攻击,导致损失约 50 万美元。
Telegram 机器人是Web3.0 世界中的一个新兴领域,它让用户能够通过 Telegram 界面进行各种 DeFi 操作,同时将代币整合其中。然而,如何区分真正的创新和令人迷惑的假象也变得越来越复杂。
CertiK 安全团队对 CoinGecko 的 Telegram 机器人代币列表中的 61 个项目进行了研究,发现近 40% 的项目疑似处于休眠状态、可能存在欺诈现象,或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的,但许多都缺乏关键的技术细节,尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎,尽量减少与其交互,并避免长期储存资产。
了解 Telegram 机器人及其代币
Telegram 机器人是通过 Telegram 聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪,并通过 Telegram 界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年,但近年来它们随着 Telegram 机器人代币的出现而备受关注。
Telegram 机器人代币是集成到 Telegram 机器人中的原生代币,主要用于多样化的交易功能,如执行 DEX 交易、跨钱包管理投资组合、Yield Farming 以及其他与 DeFi 相关的可行操作。这些代币本质上允许用户仅通过与 Telegram 界面的交互就能对接整个 DeFi。如果这些程序能够长期保持安全和正常运行,可能会对 DeFi 的整体可访问性带来重大影响。
今年 7 月 20 日之后,这些代币的受欢迎程度急剧上升,一些代币的涨幅甚至超过了 1000% 。这种趋势反映了Web3.0 社区中常见的周期性狂热,其驱动力来自 X 平台(前 Twitter)上Web3.0 货币社区的叙事共鸣。
尤其是 Unibot 崭露头角之后,又涌现出了大量 TBT。而截至 2023 年 8 月 3 日,CoinGecko 的机器人代币栏目已经列出了 61 个此类系统。
穿越叙事的交叉路口
TBT(Telegram 机器人代币)在Web3.0 领域占据了独特的地位。在 X 平台(前 Twitter)上,Web3.0 货币爱好者经常把它们作为实用代币来讨论。此前,“实用”一词在Web3.0 货币领域一直与元叙事相关联,通常涉及人工智能、金融科技、物流、跨境交易等专业行业的故事。TBT 最初是伴随着“实用”叙事而发展起来的,旨在通过创新的用户界面来分散和完善交易活动。但是,TBT 其实已经超越了单一的实用元叙事,在各种 meme 和非 meme 叙事中找到了共鸣。
与此同时,随着 TBT 叙事的发展,围绕迷你游戏 meme 代币的周期性炒作出现了,尤其是一个名为“$HAMS”的项目。$HAMS 是一个昙花一现的 meme 代币,允许用户在仓鼠比赛直播中下注。然而,由于社区成员指控运营商重复使用仓鼠视频片段,$HAMS 在推出后不久便夭折了。这催生了其他各种游戏纪念代币,也称其为 TBT。其中一种代币叫“$TETRIS”,用户可以在其中赌博并参与玩家之间的俄罗斯方块竞赛。某些游戏纪念代币之间的联系是通过在 X 平台上被广泛提及而形成的。
TBT 叙事交叉的另一个例子涉及 PAAL AI。虽然这不是一个专门的 meme,但该项目开发了一个类似 ChatGPT 的 Telegram 聊天机器人。代币和项目结构也与其他 TBT 结构类似。令人费解的是,该项目似乎并没有制作 Telegram 聊天机器人,而是提供了一个类似 ChatGPT 的网页界面。不过,该机器人还是可以通过 API 集成到用户个人的 Telegram 频道中。
CoinGecko 的 TBT 分类
Unibot 发布后不久,CoinGecko 推出了其 TBT 详细列表。该列表最初于 7 月 20 日左右发布,包含约 30 种代币。在短短几周内,这一数字就激增到了 61 。我们采用多种方法对这份名单进行了分析,包括价格动量、流动性动态和交易活跃度等综合指标,并根据这些项目是否可能死亡或交易是否仍然活跃对其进行了分类。截至 8 月的具体分布情况如下方柱状图所示:
在这 61 个项目中,我们将 37 个归为活跃项目, 24 个归为已死亡或可能已死亡项目。这些项目要么跌幅超过 85% ,其资金池只有极少甚至没有流动性,且没有任何活动,要么很可能是退出骗局。也就是说,该类别中有近 40% 的项目已经死亡或不太可能恢复。
值得一提的是,注册 Telegram 机器人账户时提供的钱包是自动生成的,而私钥是之后提供的。Unibot 未说明这些私钥的存储方式或位置是存储在本地还是服务器后台。这意味着,使用这些 Telegram 机器人进行交易和存储资金都是非常危险的。
未整合 Telegram 的项目
在研究过程中,我们发现一些被列为 TBT 的项目要么没有将其代币整合到 Telegram 中,要么没有 Telegram 交易机器人,而只有普通的 Telegram 社区频道。一些项目拥有与 Unibot 相同功能的外部 DApp,另一些项目的路线图表示 Telegram 整合将在未来实现。
其他项目则不具备这些功能,但它们出现在这份名单上或许表明了我们前面提到的交叉叙事。这些项目可能在向 CoinGecko 提交申请时,自我标榜为 TBT 类型的项目,并表明了整合或将在未来整合的目标。我们看到了叙事炒作如何扩大特定类别代币的情况,有些代币甚至以被“meme”的方式存在,即使该项目实际上与其被分配的类别毫无关系。据我们分析,这类叙事炒作的影响非常巨大,足以部分解释以上这种分歧现象。
写在最后
每当有新的叙事在数字货币社区流行起来时,会有大量类似项目继续以同样的叙事进行发布,其中许多要么是退出骗局,要么企图窃取投资者的资产,TBT 在这方面也不例外。
TBT 的开发可能是 DeFi 社区的一项独特创新。尽管这类代币的效用尚不明确,但类似平台的出现,为投资者提供了将数据汇总到交易策略中的新方法。然而,用户应该对这些平台格外谨慎。
在 TBT 领域,项目都是通过 meme 的方式存在,其价值可能在一夜之间消失殆尽,这就要求我们保持谨慎和知情的参与态度。很多项目不能向用户提供清晰的文档,无法说明其钱包密钥的存储位置和生成方式,因此存在巨大的未知风险。
用户应不考虑使用这些平台进行存储。在将外部钱包链接到这些平台,或与这些项目生成的网站进行交互时,用户也应谨慎行事。
