El 31 de octubre, Unibot fue atacado, y Unibot emitió oficialmente un anuncio diciendo: "La razón del ataque es que hay una vulnerabilidad en la aprobación de tokens en el nuevo enrutador, y cualquier pérdida de fondos debido al error del nuevo enrutador será compensada; La clave y la billetera del usuario están seguras. "
Se entiende que el ataque causó más de 600.000 dólares en daños. Aunque el equipo ha prometido pagarlo todo. Sin embargo, este ataque ha expuesto los problemas de Unibot e incluso del propio Telegram Bot.
En este incidente, algunos profesionales señalaron que el ataque se parecía más a un acto fantasma premeditado: debido a que el contrato no era de código abierto, los piratas informáticos encontraron vulnerabilidades fácilmente, y una semana después del lanzamiento de Unibot, los piratas informáticos desplegaron el ataque, que hibernó durante medio año.
A partir de este incidente, podemos vislumbrar el hecho de que el propio Telegram Bot también tiene grandes problemas de seguridad, especialmente los que involucran dinero y transacciones, que en realidad tienen altos requisitos de seguridad, pero generalmente hay problemas como que el código no es de código abierto y la clave privada no es almacenamiento localizado.
Problemas comunes expuestos por Unibot
El ataque a Unibot parece ser esperado. De hecho, existe un consenso entre los expertos de la industria: no te atrevas a poner demasiado dinero en ello, porque bots similares de Telegram no parecen ser seguros.
En la actualidad, la industria de las criptomonedas ha formado básicamente dos conjuntos de lógicas y caminos de desarrollo en términos de seguridad. El primero es un exchange centralizado, que está respaldado por activos y sujeto a la regulación gubernamental. La confianza del público todavía se deriva de la reputación de las grandes empresas y de las agencias gubernamentales que la supervisan.
El otro camino son los productos descentralizados como Defi y las billeteras de autocustodia. Utilice contratos y códigos que hayan sido auditados para garantizar la seguridad de los activos de los usuarios tanto como sea posible. Por supuesto, lo más importante en este camino es que los usuarios deben ser responsables de sí mismos y dominar los conocimientos de seguridad de la industria blockchain.
Pero para un producto como Unibot, en realidad actúa como una herramienta para tender un puente entre los mundos Web2 y Web3, y para un producto Web2.5, ¿cómo garantizar su seguridad?
Veamos primero qué aspectos de Unibot son defectuosos, en primer lugar, hay problemas con el contrato de Unibot en sí. Jerry, quien también es un emprendedor de bots en transacciones de Telegram, le dijo a Golden Finance que el ataque fue simplemente que el hacker manipuló el contrato de Unibot, y el contrato en sí estaba autorizado por el token del usuario, por lo que el hacker manipuló el contrato para transferir el token del usuario a su propia cuenta.
Según el análisis de Jerry's, esta vulnerabilidad debería haberse evitado en auditorías de seguridad anteriores. El proyecto no debería haber sido estrictamente auditado, y no hay noticias de una auditoría de contrato en la información pública. Y no es de código abierto.
En opinión de Jerry, además de los problemas que se han expuesto hasta ahora, el producto Unibot en sí también tiene muchos problemas, como la seguridad de las claves privadas de los usuarios. Cuando un usuario usa Unibot, su clave privada se envía directamente al cuadro de diálogo de Telegram. Los expertos de la industria con un poco de sentido común entienden que las claves privadas nunca deben hacerse públicas.
El usuario entiende que después de que se produce el comportamiento de envío al cuadro de diálogo, Unibot puede comprender la clave privada del usuario. Si el equipo del proyecto está dispuesto, el equipo del proyecto puede hacer el mal.
En opinión de Jerry, para evitar tal situación, estos bots comerciales deberían poder almacenar claves privadas localmente. Por supuesto, también es posible comprender la forma en que las claves privadas son mantenidas en custodia por bots comerciales como Unibot. Debido a que este método se puede utilizar para la interacción conversacional, la experiencia del usuario será fluida al realizar transacciones, lo que no requiere autorización de firma para cada transacción como la billetera MetaMask.
Cómo mejorar
Frente a los problemas anteriores, la solución no es difícil, pero para los bots existentes, el costo es alto.
Por ejemplo, en la dirección de la seguridad de la clave privada del usuario, lo que debe implementarse es el almacenamiento localizado de claves privadas, pero si el proyecto de bot existente quiere hacer esto, entonces todos los usuarios deben migrarse. Según el reportero financiero de oro, en la actualidad, en esta dirección, ya hay algunos equipos que realizan emprendimientos relacionados, y debido al reciente ataque a Unibot, las instituciones de capital de riesgo relevantes también han mostrado un mayor entusiasmo por los proyectos de emprendimiento de seguridad de BOT.
Y tenemos una visión más amplia, ¿cómo debería este producto que tiende un puente entre la Web2 y la Web3 garantizar la seguridad de los fondos y los datos personales de los usuarios? ¿O qué debería hacer Telegram?
Al revisar el desarrollo de Telegram, podemos ver que, de hecho, en su práctica pasada, ha habido algunas prácticas correspondientes para garantizar la seguridad de los activos de los usuarios, como el lanzamiento de la nueva billetera de autocustodia de TON Space. Y en términos de seguridad de la información, los usuarios pueden elegir el cifrado de extremo a extremo de la conversación.
Los bots en Telegram son mixtos, e incluso hay casos en los que los piratas informáticos usan bots falsos para robar los activos de los usuarios. En la situación actual de la creciente integración de Web2 y Web3, en términos de seguridad de capital, especialmente esta herramienta para construir puentes, necesitamos más formas de garantizar la integración de Web2 y Web3. Por ejemplo, el propio Telegram debería desempeñar un cierto papel en la supervisión y el castigo después de los informes de los usuarios, y como proyecto combinado con la industria de la cadena de bloques, debería realizar auditorías de contratos en la medida de lo posible, código fuente abierto, etc.
Con el desarrollo de la industria, la forma de resolver los diversos problemas de este producto "puente" definitivamente desarrollará el consenso de la industria.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
¿Qué problemas de seguridad de los productos de bots se exponen por el ataque de Unibot?
Periodista financiera de oro Jessy
El 31 de octubre, Unibot fue atacado, y Unibot emitió oficialmente un anuncio diciendo: "La razón del ataque es que hay una vulnerabilidad en la aprobación de tokens en el nuevo enrutador, y cualquier pérdida de fondos debido al error del nuevo enrutador será compensada; La clave y la billetera del usuario están seguras. "
Se entiende que el ataque causó más de 600.000 dólares en daños. Aunque el equipo ha prometido pagarlo todo. Sin embargo, este ataque ha expuesto los problemas de Unibot e incluso del propio Telegram Bot.
En este incidente, algunos profesionales señalaron que el ataque se parecía más a un acto fantasma premeditado: debido a que el contrato no era de código abierto, los piratas informáticos encontraron vulnerabilidades fácilmente, y una semana después del lanzamiento de Unibot, los piratas informáticos desplegaron el ataque, que hibernó durante medio año.
A partir de este incidente, podemos vislumbrar el hecho de que el propio Telegram Bot también tiene grandes problemas de seguridad, especialmente los que involucran dinero y transacciones, que en realidad tienen altos requisitos de seguridad, pero generalmente hay problemas como que el código no es de código abierto y la clave privada no es almacenamiento localizado.
Problemas comunes expuestos por Unibot
El ataque a Unibot parece ser esperado. De hecho, existe un consenso entre los expertos de la industria: no te atrevas a poner demasiado dinero en ello, porque bots similares de Telegram no parecen ser seguros.
En la actualidad, la industria de las criptomonedas ha formado básicamente dos conjuntos de lógicas y caminos de desarrollo en términos de seguridad. El primero es un exchange centralizado, que está respaldado por activos y sujeto a la regulación gubernamental. La confianza del público todavía se deriva de la reputación de las grandes empresas y de las agencias gubernamentales que la supervisan.
El otro camino son los productos descentralizados como Defi y las billeteras de autocustodia. Utilice contratos y códigos que hayan sido auditados para garantizar la seguridad de los activos de los usuarios tanto como sea posible. Por supuesto, lo más importante en este camino es que los usuarios deben ser responsables de sí mismos y dominar los conocimientos de seguridad de la industria blockchain.
Pero para un producto como Unibot, en realidad actúa como una herramienta para tender un puente entre los mundos Web2 y Web3, y para un producto Web2.5, ¿cómo garantizar su seguridad?
Veamos primero qué aspectos de Unibot son defectuosos, en primer lugar, hay problemas con el contrato de Unibot en sí. Jerry, quien también es un emprendedor de bots en transacciones de Telegram, le dijo a Golden Finance que el ataque fue simplemente que el hacker manipuló el contrato de Unibot, y el contrato en sí estaba autorizado por el token del usuario, por lo que el hacker manipuló el contrato para transferir el token del usuario a su propia cuenta.
Según el análisis de Jerry's, esta vulnerabilidad debería haberse evitado en auditorías de seguridad anteriores. El proyecto no debería haber sido estrictamente auditado, y no hay noticias de una auditoría de contrato en la información pública. Y no es de código abierto.
En opinión de Jerry, además de los problemas que se han expuesto hasta ahora, el producto Unibot en sí también tiene muchos problemas, como la seguridad de las claves privadas de los usuarios. Cuando un usuario usa Unibot, su clave privada se envía directamente al cuadro de diálogo de Telegram. Los expertos de la industria con un poco de sentido común entienden que las claves privadas nunca deben hacerse públicas.
El usuario entiende que después de que se produce el comportamiento de envío al cuadro de diálogo, Unibot puede comprender la clave privada del usuario. Si el equipo del proyecto está dispuesto, el equipo del proyecto puede hacer el mal.
En opinión de Jerry, para evitar tal situación, estos bots comerciales deberían poder almacenar claves privadas localmente. Por supuesto, también es posible comprender la forma en que las claves privadas son mantenidas en custodia por bots comerciales como Unibot. Debido a que este método se puede utilizar para la interacción conversacional, la experiencia del usuario será fluida al realizar transacciones, lo que no requiere autorización de firma para cada transacción como la billetera MetaMask.
Cómo mejorar
Frente a los problemas anteriores, la solución no es difícil, pero para los bots existentes, el costo es alto.
Por ejemplo, en la dirección de la seguridad de la clave privada del usuario, lo que debe implementarse es el almacenamiento localizado de claves privadas, pero si el proyecto de bot existente quiere hacer esto, entonces todos los usuarios deben migrarse. Según el reportero financiero de oro, en la actualidad, en esta dirección, ya hay algunos equipos que realizan emprendimientos relacionados, y debido al reciente ataque a Unibot, las instituciones de capital de riesgo relevantes también han mostrado un mayor entusiasmo por los proyectos de emprendimiento de seguridad de BOT.
Y tenemos una visión más amplia, ¿cómo debería este producto que tiende un puente entre la Web2 y la Web3 garantizar la seguridad de los fondos y los datos personales de los usuarios? ¿O qué debería hacer Telegram?
Al revisar el desarrollo de Telegram, podemos ver que, de hecho, en su práctica pasada, ha habido algunas prácticas correspondientes para garantizar la seguridad de los activos de los usuarios, como el lanzamiento de la nueva billetera de autocustodia de TON Space. Y en términos de seguridad de la información, los usuarios pueden elegir el cifrado de extremo a extremo de la conversación.
Los bots en Telegram son mixtos, e incluso hay casos en los que los piratas informáticos usan bots falsos para robar los activos de los usuarios. En la situación actual de la creciente integración de Web2 y Web3, en términos de seguridad de capital, especialmente esta herramienta para construir puentes, necesitamos más formas de garantizar la integración de Web2 y Web3. Por ejemplo, el propio Telegram debería desempeñar un cierto papel en la supervisión y el castigo después de los informes de los usuarios, y como proyecto combinado con la industria de la cadena de bloques, debería realizar auditorías de contratos en la medida de lo posible, código fuente abierto, etc.
Con el desarrollo de la industria, la forma de resolver los diversos problemas de este producto "puente" definitivamente desarrollará el consenso de la industria.