继Maestrobot后，Telegram Bot项目再遭恶意利用：Unibot攻击事件分析

北京时间2023年10月31日12:39:23，Unibot发生漏洞恶意利用，损失了64万美元的资产。攻击者利用Unibot路由器合约中的“arbitrary call”漏洞，将价值64万美元的各种预先授权给路由合约的代币转移到自己名下。

让我们先来了解一下此次事件的漏洞分析和攻击过程。

漏洞分析

函数0xb2bd16ab()未正确检查输入参数，特别是varg0和varg4，这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。

攻击过程

攻击从北京时间31日12:39:23开始，持续到了31日的14:09:47。在此期间，攻击者执行了22次攻击交易，调用了攻击合约上的"0x5456a7bf()"方法，该方法反复调用Unibot路由器合约中的"0xb2bd16ab()"方法，将各种代币从受害者地址转移到自己的账户。

总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中，漏洞利用者随后出售了这些代币，获得总计355.5 ETH（约合64万美元）。

Unibot团队稍后做出回应，部署了新的路由器合约。在其官方X账号中他们还宣布了对所有受害者的赔偿计划。目前所有355.5ETH已被转入Tornado.Cash。

Telegram机器人

此次攻击与此前的Maestrobot事件非常相似。10月25日，CertiK Alert即在X平台发布警告称，Telegram 机器人项目Maestro Bots路由器合约遭受攻击，导致损失约50万美元。

Telegram机器人是Web3.0世界中的一个新兴领域，它让用户能够通过Telegram界面进行各种DeFi操作，同时将代币整合其中。然而，如何区分真正的创新和令人迷惑的假象也变得越来越复杂。

CertiK安全团队对CoinGecko的Telegram机器人代币列表中的61个项目进行了研究，发现近40%的项目疑似处于休眠状态、可能存在欺诈现象，或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的，但许多都缺乏关键的技术细节，尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎，尽量减少与其交互，并避免长期储存资产。

了解Telegram机器人及其代币

Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪，并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年，但近年来它们随着Telegram机器人代币的出现而备受关注。

Telegram机器人代币是集成到Telegram机器人中的原生代币，主要用于多样化的交易功能，如执行DEX交易、跨钱包管理投资组合、Yield Farming以及其他与DeFi相关的可行操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。如果这些程序能够长期保持安全和正常运行，可能会对DeFi的整体可访问性带来重大影响。

今年7月20日之后，这些代币的受欢迎程度急剧上升，一些代币的涨幅甚至超过了1000%。这种趋势反映了Web3.0社区中常见的周期性狂热，其驱动力来自X平台（前Twitter）上Web3.0货币社区的叙事共鸣。

尤其是Unibot崭露头角之后，又涌现出了大量TBT。而截至2023年8月3日，CoinGecko的机器人代币栏目已经列出了61个此类系统。

穿越叙事的交叉路口

TBT（Telegram机器人代币）在Web3.0领域占据了独特的地位。在X平台（前Twitter）上，Web3.0货币爱好者经常把它们作为实用代币来讨论。此前，“实用”一词在Web3.0货币领域一直与元叙事相关联，通常涉及人工智能、金融科技、物流、跨境交易等专业行业的故事。TBT最初是伴随着“实用”叙事而发展起来的，旨在通过创新的用户界面来分散和完善交易活动。但是，TBT其实已经超越了单一的实用元叙事，在各种meme和非meme叙事中找到了共鸣。

与此同时，随着TBT叙事的发展，围绕迷你游戏meme代币的周期性炒作出现了，尤其是一个名为“$HAMS”的项目。$HAMS是一个昙花一现的meme代币，允许用户在仓鼠比赛直播中下注。然而，由于社区成员指控运营商重复使用仓鼠视频片段，$HAMS在推出后不久便夭折了。这催生了其他各种游戏纪念代币，也称其为TBT。其中一种代币叫“$TETRIS”，用户可以在其中赌博并参与玩家之间的俄罗斯方块竞赛。某些游戏纪念代币之间的联系是通过在X平台上被广泛提及而形成的。