في 31 أكتوبر ، تعرضت Unibot للهجوم ، وأصدرت Unibot رسميا إعلانا يقول: "سبب الهجوم هو وجود ثغرة أمنية في الموافقة على الرمز المميز في جهاز التوجيه الجديد ، وسيتم تعويض أي خسارة في الأموال بسبب خطأ جهاز التوجيه الجديد ؛ مفتاح المستخدم ومحفظته آمنان. "
من المفهوم أن الهجوم تسبب في أضرار تزيد عن 600000 دولار. على الرغم من أن الفريق قد وعد بدفع كل شيء. ومع ذلك ، فقد كشف هذا الهجوم عن مشاكل Unibot وحتى Telegram Bot نفسها.
في هذا الحادث ، أشار بعض المحترفين إلى أن الهجوم كان أشبه بعمل شبح متعمد: نظرا لأن العقد لم يكن مفتوح المصدر ، فقد وجد المتسللون نقاط الضعف بسهولة ، وبعد أسبوع من إطلاق Unibot ، نشر المتسللون الهجوم ، الذي سبات لمدة نصف عام.
من هذا الحادث ، يمكننا الحصول على لمحة عن حقيقة أن Telegram Bot نفسه يعاني أيضا من مشاكل أمنية كبيرة ، خاصة تلك التي تنطوي على أموال ومعاملات ، والتي لها بالفعل متطلبات أمان عالية ، ولكن هناك مشاكل بشكل عام مثل الكود ليس مفتوح المصدر والمفتاح الخاص ليس تخزينا مترجما.
** المشاكل الشائعة التي كشفها Unibot **
يبدو أن الهجوم على Unibot متوقع. هناك في الواقع إجماع بين المطلعين على الصناعة: لا تجرؤ على وضع الكثير من المال فيه ، لأن روبوتات Telegram المماثلة لا تبدو آمنة.
في الوقت الحاضر ، شكلت صناعة التشفير بشكل أساسي مجموعتين من منطق ومسارات التنمية من حيث الأمان. الأول هو بورصة مركزية ، مدعومة بالأصول وتخضع للتنظيم الحكومي. لا تزال ثقة الجمهور تنبع من سمعة الشركات الكبيرة والوكالات الحكومية التي تشرف عليها.
المسار الآخر هو المنتجات اللامركزية مثل Defi ومحافظ الوصاية الذاتية. استخدم العقود والرموز التي تم تدقيقها لضمان أمان أصول المستخدمين قدر الإمكان. بالطبع ، ما هو أكثر أهمية في هذا المسار هو أن المستخدمين يجب أن يكونوا مسؤولين عن أنفسهم وأن يتقنوا المعرفة الأمنية لصناعة blockchain.
ولكن بالنسبة لمنتج مثل Unibot ، فإنه يعمل في الواقع كأداة لربط عوالم Web2 و Web3 ، وبالنسبة لمنتج Web2.5 ، كيف يمكن ضمان أمانه؟
دعونا أولا نلقي نظرة على جوانب Unibot نفسها المعيبة ، أولا وقبل كل شيء ، هناك مشاكل في عقد Unibot نفسه. أخبر جيري ، وهو أيضا رائد أعمال بوت في معاملات Telegram ، Golden Finance أن الهجوم كان ببساطة أن المتسلل تلاعب بعقد Unibot ، وكان العقد نفسه مصرحا به من قبل رمز المستخدم ، لذلك تلاعب المتسلل بالعقد لنقل رمز المستخدم إلى حسابه الخاص.
وفقا لتحليل جيري ، كان يجب تجنب هذه الثغرة الأمنية في عمليات التدقيق الأمنية السابقة. لا ينبغي أن يكون المشروع قد تم تدقيقه بدقة ، ولا توجد أخبار عن تدقيق العقد على المعلومات العامة. وهي ليست مفتوحة المصدر.
من وجهة نظر جيري ، بالإضافة إلى المشكلات التي تم الكشف عنها حتى الآن ، فإن منتج Unibot نفسه يعاني أيضا من العديد من المشكلات ، مثل أمان المفاتيح الخاصة للمستخدمين. عندما يستخدم المستخدم Unibot ، يتم إرسال مفتاحه الخاص مباشرة إلى مربع حوار Telegram. يدرك المطلعون على الصناعة الذين لديهم القليل من الحس السليم أنه لا ينبغي أبدا نشر المفاتيح الخاصة.
يدرك المستخدم أنه بعد حدوث سلوك الإرسال إلى مربع الحوار ، يمكن ل Unibot بالفعل فهم المفتاح الخاص للمستخدم. إذا كان فريق المشروع على استعداد ، يمكن لفريق المشروع أن يفعل الشر.
في رأي جيري ، من أجل تجنب مثل هذا الموقف ، يجب أن تكون روبوتات التداول هذه قادرة على تخزين المفاتيح الخاصة محليا. بالطبع ، من الممكن أيضا فهم الطريقة التي يتم بها الاحتفاظ بالمفاتيح الخاصة بواسطة روبوتات التداول مثل Unibot. نظرا لأنه يمكن استخدام هذه الطريقة للتفاعل مع المحادثة ، ستكون تجربة المستخدم سلسة عند إجراء المعاملات ، والتي لا تتطلب إذن توقيع لكل معاملة مثل محفظة MetaMask.
كيفية تحسين
في مواجهة المشاكل المذكورة أعلاه ، فإن الحل ليس صعبا ، ولكن بالنسبة للروبوتات الحالية ، فإن التكلفة مرتفعة.
على سبيل المثال ، في اتجاه أمان المفتاح الخاص للمستخدم ، ما يجب تنفيذه هو التخزين الموضعي للمفاتيح الخاصة ، ولكن إذا أراد مشروع الروبوت الحالي القيام بذلك ، فيجب ترحيل جميع المستخدمين. وفقا للمراسل المالي الذهبي ، في الوقت الحالي ، في هذا الاتجاه ، هناك بالفعل بعض الفرق التي تقوم بريادة الأعمال ذات الصلة ، وبسبب الهجوم الأخير على Unibot ، أظهرت مؤسسات رأس المال الاستثماري ذات الصلة أيضا حماسا أعلى لمشاريع ريادة الأعمال الأمنية في BOT.
ونلقي نظرة أوسع ، كيف يجب أن يضمن هذا المنتج الذي يبني جسرا بين Web2 و Web3 أمان أموال المستخدمين وبياناتهم الشخصية؟ أو ماذا يجب أن تفعل Telegram نفسها؟
من خلال التمشيط من خلال تطوير Telegram ، يمكننا أن نرى أنه في الواقع ، في ممارستها السابقة ، كانت هناك بعض الممارسات المقابلة في ضمان أمان أصول المستخدم ، مثل إطلاق محفظة TON Space الجديدة للحضانة الذاتية. وفيما يتعلق بأمن المعلومات ، يمكن للمستخدمين اختيار التشفير من طرف إلى طرف للمحادثة.
الروبوتات على Telegram مختلطة ، وهناك حالات يستخدم فيها المتسللون روبوتات مزيفة لسرقة أصول المستخدم. في الوضع الحالي للتكامل المتزايد بين Web2 و Web3 ، من حيث أمن رأس المال ، وخاصة هذه الأداة لبناء الجسور ، نحتاج إلى المزيد من الطرق لضمان تكامل Web2 و Web3. على سبيل المثال ، يجب أن تلعب Telegram نفسها دورا معينا في الإشراف والعقاب بعد إبلاغ المستخدم ، وكمشروع مقترن بصناعة blockchain ، يجب أن تقوم بعمليات تدقيق العقود قدر الإمكان ، وشفرة مفتوحة المصدر ، وما إلى ذلك.
مع تطور الصناعة ، فإن كيفية حل المشكلات المختلفة لهذا المنتج "الجسر" ستطور بالتأكيد إجماع الصناعة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ما هي المشاكل الأمنية لمنتجات الروبوت التي يكشفها هجوم Unibot؟
الصحفية المالية الذهبية جيسي
في 31 أكتوبر ، تعرضت Unibot للهجوم ، وأصدرت Unibot رسميا إعلانا يقول: "سبب الهجوم هو وجود ثغرة أمنية في الموافقة على الرمز المميز في جهاز التوجيه الجديد ، وسيتم تعويض أي خسارة في الأموال بسبب خطأ جهاز التوجيه الجديد ؛ مفتاح المستخدم ومحفظته آمنان. "
من المفهوم أن الهجوم تسبب في أضرار تزيد عن 600000 دولار. على الرغم من أن الفريق قد وعد بدفع كل شيء. ومع ذلك ، فقد كشف هذا الهجوم عن مشاكل Unibot وحتى Telegram Bot نفسها.
في هذا الحادث ، أشار بعض المحترفين إلى أن الهجوم كان أشبه بعمل شبح متعمد: نظرا لأن العقد لم يكن مفتوح المصدر ، فقد وجد المتسللون نقاط الضعف بسهولة ، وبعد أسبوع من إطلاق Unibot ، نشر المتسللون الهجوم ، الذي سبات لمدة نصف عام.
من هذا الحادث ، يمكننا الحصول على لمحة عن حقيقة أن Telegram Bot نفسه يعاني أيضا من مشاكل أمنية كبيرة ، خاصة تلك التي تنطوي على أموال ومعاملات ، والتي لها بالفعل متطلبات أمان عالية ، ولكن هناك مشاكل بشكل عام مثل الكود ليس مفتوح المصدر والمفتاح الخاص ليس تخزينا مترجما.
** المشاكل الشائعة التي كشفها Unibot **
يبدو أن الهجوم على Unibot متوقع. هناك في الواقع إجماع بين المطلعين على الصناعة: لا تجرؤ على وضع الكثير من المال فيه ، لأن روبوتات Telegram المماثلة لا تبدو آمنة.
في الوقت الحاضر ، شكلت صناعة التشفير بشكل أساسي مجموعتين من منطق ومسارات التنمية من حيث الأمان. الأول هو بورصة مركزية ، مدعومة بالأصول وتخضع للتنظيم الحكومي. لا تزال ثقة الجمهور تنبع من سمعة الشركات الكبيرة والوكالات الحكومية التي تشرف عليها.
المسار الآخر هو المنتجات اللامركزية مثل Defi ومحافظ الوصاية الذاتية. استخدم العقود والرموز التي تم تدقيقها لضمان أمان أصول المستخدمين قدر الإمكان. بالطبع ، ما هو أكثر أهمية في هذا المسار هو أن المستخدمين يجب أن يكونوا مسؤولين عن أنفسهم وأن يتقنوا المعرفة الأمنية لصناعة blockchain.
ولكن بالنسبة لمنتج مثل Unibot ، فإنه يعمل في الواقع كأداة لربط عوالم Web2 و Web3 ، وبالنسبة لمنتج Web2.5 ، كيف يمكن ضمان أمانه؟
دعونا أولا نلقي نظرة على جوانب Unibot نفسها المعيبة ، أولا وقبل كل شيء ، هناك مشاكل في عقد Unibot نفسه. أخبر جيري ، وهو أيضا رائد أعمال بوت في معاملات Telegram ، Golden Finance أن الهجوم كان ببساطة أن المتسلل تلاعب بعقد Unibot ، وكان العقد نفسه مصرحا به من قبل رمز المستخدم ، لذلك تلاعب المتسلل بالعقد لنقل رمز المستخدم إلى حسابه الخاص.
وفقا لتحليل جيري ، كان يجب تجنب هذه الثغرة الأمنية في عمليات التدقيق الأمنية السابقة. لا ينبغي أن يكون المشروع قد تم تدقيقه بدقة ، ولا توجد أخبار عن تدقيق العقد على المعلومات العامة. وهي ليست مفتوحة المصدر.
من وجهة نظر جيري ، بالإضافة إلى المشكلات التي تم الكشف عنها حتى الآن ، فإن منتج Unibot نفسه يعاني أيضا من العديد من المشكلات ، مثل أمان المفاتيح الخاصة للمستخدمين. عندما يستخدم المستخدم Unibot ، يتم إرسال مفتاحه الخاص مباشرة إلى مربع حوار Telegram. يدرك المطلعون على الصناعة الذين لديهم القليل من الحس السليم أنه لا ينبغي أبدا نشر المفاتيح الخاصة.
يدرك المستخدم أنه بعد حدوث سلوك الإرسال إلى مربع الحوار ، يمكن ل Unibot بالفعل فهم المفتاح الخاص للمستخدم. إذا كان فريق المشروع على استعداد ، يمكن لفريق المشروع أن يفعل الشر.
في رأي جيري ، من أجل تجنب مثل هذا الموقف ، يجب أن تكون روبوتات التداول هذه قادرة على تخزين المفاتيح الخاصة محليا. بالطبع ، من الممكن أيضا فهم الطريقة التي يتم بها الاحتفاظ بالمفاتيح الخاصة بواسطة روبوتات التداول مثل Unibot. نظرا لأنه يمكن استخدام هذه الطريقة للتفاعل مع المحادثة ، ستكون تجربة المستخدم سلسة عند إجراء المعاملات ، والتي لا تتطلب إذن توقيع لكل معاملة مثل محفظة MetaMask.
كيفية تحسين
في مواجهة المشاكل المذكورة أعلاه ، فإن الحل ليس صعبا ، ولكن بالنسبة للروبوتات الحالية ، فإن التكلفة مرتفعة.
على سبيل المثال ، في اتجاه أمان المفتاح الخاص للمستخدم ، ما يجب تنفيذه هو التخزين الموضعي للمفاتيح الخاصة ، ولكن إذا أراد مشروع الروبوت الحالي القيام بذلك ، فيجب ترحيل جميع المستخدمين. وفقا للمراسل المالي الذهبي ، في الوقت الحالي ، في هذا الاتجاه ، هناك بالفعل بعض الفرق التي تقوم بريادة الأعمال ذات الصلة ، وبسبب الهجوم الأخير على Unibot ، أظهرت مؤسسات رأس المال الاستثماري ذات الصلة أيضا حماسا أعلى لمشاريع ريادة الأعمال الأمنية في BOT.
ونلقي نظرة أوسع ، كيف يجب أن يضمن هذا المنتج الذي يبني جسرا بين Web2 و Web3 أمان أموال المستخدمين وبياناتهم الشخصية؟ أو ماذا يجب أن تفعل Telegram نفسها؟
من خلال التمشيط من خلال تطوير Telegram ، يمكننا أن نرى أنه في الواقع ، في ممارستها السابقة ، كانت هناك بعض الممارسات المقابلة في ضمان أمان أصول المستخدم ، مثل إطلاق محفظة TON Space الجديدة للحضانة الذاتية. وفيما يتعلق بأمن المعلومات ، يمكن للمستخدمين اختيار التشفير من طرف إلى طرف للمحادثة.
الروبوتات على Telegram مختلطة ، وهناك حالات يستخدم فيها المتسللون روبوتات مزيفة لسرقة أصول المستخدم. في الوضع الحالي للتكامل المتزايد بين Web2 و Web3 ، من حيث أمن رأس المال ، وخاصة هذه الأداة لبناء الجسور ، نحتاج إلى المزيد من الطرق لضمان تكامل Web2 و Web3. على سبيل المثال ، يجب أن تلعب Telegram نفسها دورا معينا في الإشراف والعقاب بعد إبلاغ المستخدم ، وكمشروع مقترن بصناعة blockchain ، يجب أن تقوم بعمليات تدقيق العقود قدر الإمكان ، وشفرة مفتوحة المصدر ، وما إلى ذلك.
مع تطور الصناعة ، فإن كيفية حل المشكلات المختلفة لهذا المنتج "الجسر" ستطور بالتأكيد إجماع الصناعة.