! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022556/cnjyy42la5bhy1fv!webp)
À 12 h 39 min 23 s le 31 octobre 2023, heure de Beijing, **Unibot a été exploité de manière malveillante et a perdu 640 000 $ d’actifs. **Un attaquant a exploité une vulnérabilité d'« appel arbitraire » dans le contrat du routeur Unibot pour transférer à son nom 640 000 $ de divers jetons préautorisés au contrat de routage.
Jetons d’abord un coup d’œil à l’analyse des vulnérabilités et au processus d’attaque de cet incident.
Analyse des vulnérabilités
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022621/tgok7idxkfx8z9bm!webp)
La fonction 0xb2bd16ab() ne vérifie pas correctement les paramètres d’entrée, en particulier g 0 et g 4, qui sont utilisés pour appeler arbitrairement le contrat de jeton externe et exécuter la méthode 'transferFrom()'.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022644/jel7r8e6ov2w3gxi!webp)
Processus d’attaque
L’attaque a commencé à 12 h 39 min 23 s, heure de Beijing, le 31 et a duré jusqu’à 14 h 09 min 47 s le 31. Au cours de cette période, l’attaquant a exécuté 22 transactions d’attaque, appelant la méthode « 0x5456a7bf() » sur le contrat d’attaque, qui a appelé à plusieurs reprises la méthode « 0xb2bd16ab() » dans le contrat du routeur Unibot pour transférer divers jetons de l’adresse de la victime vers son propre compte.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022752/a6t9jtf2v62t3cdh!webp)
Au total, 42 jetons ont été transférés de 364 adresses de victimes via le routeur aux attaquants, que les exploiteurs ont ensuite vendus pour un total de 355,5 ETH (environ 640 000 $). **
L’équipe d’Unibot a par la suite réagi en déployant un nouveau contrat de routeur. Sur leur compte X officiel, ils ont également annoncé un plan d’indemnisation pour toutes les victimes. Actuellement, la totalité des 355,5 ETH ont été transférés sur Tornado.Cash.
Bots Telegram
**Cette attaque est très similaire à l’incident précédent de Maestrobot. Le 25 octobre, CertiK a émis un avertissement sur la plate-forme X indiquant que le contrat de routeur Maestro Bots du projet de bot Telegram avait été attaqué, entraînant une perte d’environ 500 000 $.
Les bots Telegram sont un domaine émergent dans le monde du Web 3.0 qui permet aux utilisateurs d’effectuer diverses opérations DeFi via l’interface Telegram tout en y intégrant des jetons. Cependant, la distinction entre l’innovation authentique et les illusions déroutantes devient de plus en plus complexe.
L’équipe de sécurité de CertiK a mené une étude sur 61 éléments de la liste des jetons de bot Telegram de CoinGecko et a constaté que près de 40 % d’entre eux étaient soupçonnés d’être dormants, potentiellement frauduleux ou risquant de ne pas pouvoir se remettre de la forte vente. Les mécanismes de trading de ces plateformes sont sans aucun doute innovants, mais beaucoup manquent de détails techniques clés, en particulier d’informations sur la gestion des clés privées dans les portefeuilles in-app. Nous recommandons aux utilisateurs de faire preuve d’une extrême prudence lorsqu’ils utilisent ces plateformes, de minimiser les interactions avec celles-ci et d’éviter de stocker des ressources pendant de longues périodes.
En savoir plus sur les bots Telegram et leurs tokens
**Les bots Telegram sont des programmes automatisés qui s’exécutent via les programmes de chat Telegram. Ils peuvent effectuer des transactions, fournir des données de marché aux utilisateurs, évaluer le sentiment sur les médias sociaux et interagir avec des contrats intelligents grâce à des commandes exécutées initiées par l’interface Telegram. Ce type de bot existe depuis des années, mais ces dernières années, il a gagné du terrain avec l’avènement du jeton de bot Telegram.
Le jeton de bot Telegram est le jeton natif intégré au bot Telegram et est principalement utilisé pour des fonctions de trading diversifiées telles que l’exécution de transactions DEX, la gestion de portefeuilles entre portefeuilles, le yield farming et d’autres opérations possibles liées à la DeFi. Ces jetons permettent essentiellement aux utilisateurs de se connecter à l’ensemble de la DeFi simplement en interagissant avec l’interface Telegram. Si ces programmes peuvent rester sécurisés et fonctionner correctement pendant longtemps, cela pourrait avoir un impact significatif sur l’accessibilité globale de la DeFi. **
Après le 20 juillet de cette année, la popularité de ces jetons a considérablement augmenté, certains augmentant même de plus de 1000%. Cette tendance reflète la frénésie cyclique courante dans la communauté Web3.0, alimentée par la résonance narrative de la communauté monétaire Web3.0 sur la plateforme X (anciennement Twitter).
En particulier, après l’arrivée d’Unibot, un grand nombre de TBT ont émergé. Au 3 août 2023, la colonne des jetons de bot de CoinGecko répertoriait 61 systèmes de ce type.
Traverser le carrefour du récit
TBT (Telegram Bot Token) occupe une position unique dans l’espace Web3.0. Sur la plate-forme X (anciennement Twitter), les amateurs de monnaie Web3.0 en parlent souvent comme de jetons utilitaires. Auparavant, le terme « utilité » était associé à des méta-récits dans l’espace monétaire du Web 3.0, impliquant souvent des histoires provenant d’industries spécialisées telles que l’intelligence artificielle, la fintech, la logistique, les transactions transfrontalières, etc. TBT a été développé à l’origine avec un récit « utilitaire » pour décentraliser et affiner les activités de trading grâce à une interface utilisateur innovante. Cependant, TBT est allé au-delà d’un seul méta-récit utilitaire et a trouvé une résonance dans une variété de récits de mèmes et de non-mèmes.
Dans le même temps, au fur et à mesure de l’évolution du récit TBT, un battage médiatique périodique autour des jetons de mèmes de mini-jeux a émergé, en particulier avec un projet appelé « $HAMS ». $HAMS s’agit d’un jeton mème de courte durée qui permet aux utilisateurs de placer des paris sur des diffusions en direct de matchs de hamsters. Cependant, $HAMS est décédé peu de temps après le lancement en raison d’accusations de membres de la communauté selon lesquelles l’opérateur réutilisait des séquences vidéo de hamsters. Cela a donné naissance à divers autres jetons commémoratifs de jeu, également connus sous le nom de TBT. L’un des jetons s’appelle « $TETRIS », où les utilisateurs peuvent jouer et participer à des courses de Tetris entre joueurs. Le lien entre certains jetons commémoratifs du jeu a été formé par le fait d’être largement mentionné sur la plate-forme X.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01023011/4hyfzrordb1wtexu!webp)
Un autre exemple d’intersection narrative TBT implique l’IA PAAL. Bien qu’il ne s’agisse pas d’un mème dédié, le projet a développé un chatbot Telegram de type ChatGPT. La structure du jeton et du projet est également similaire à celle d’autres structures TBT. Curieusement, le projet ne semble pas créer un chatbot Telegram, mais fournit plutôt une interface Web de type ChatGPT. Cependant, le bot peut être intégré dans le canal Telegram personnel de l’utilisateur via l’API.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01023038/tic6p7bpbfnu24gf!webp)
Classification TBT de CoinGecko
Peu de temps après la sortie d’Unibot, CoinGecko a publié sa liste détaillée des TBT. La liste a été initialement publiée vers le 20 juillet et contient environ 30 jetons. En quelques semaines seulement, ce nombre est passé à 61. Nous avons analysé la liste à l’aide de diverses méthodes, y compris une combinaison d’indicateurs tels que la dynamique des prix, la dynamique de la liquidité et l’activité de trading, et les avons classés selon qu’ils sont susceptibles de mourir ou qu’ils sont toujours activement négociés. La répartition en août est illustrée dans le graphique à barres ci-dessous :
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01023058/ratgyss6if20n83m!webp) Sur ces 61 projets, nous en classons 37 comme actifs et 24 comme décédés ou possiblement décédés. Ces projets sont soit en baisse de plus de 85 %, ils ont peu ou pas de liquidités dans leurs pools, et n’ont pas d’activité, soit ils sont susceptibles d’être des escroqueries de sortie. C’est-à-dire que près de 40 % des articles de cette catégorie sont morts ou ont peu de chances de se rétablir.
Il convient de mentionner que le portefeuille fourni lors de l’enregistrement d’un compte de bot Telegram est automatiquement généré, tandis que la clé privée est fournie ultérieurement. Unibot ne dit pas comment ni où ces clés privées sont stockées, localement ou en arrière-plan du serveur. Cela signifie qu’il est très dangereux d’utiliser ces bots Telegram pour le trading et le stockage de fonds. **
Projets qui n’intègrent pas Telegram
Au cours de nos recherches, nous avons constaté que certains des projets répertoriés comme TBT n’intégraient pas leurs jetons dans Telegram ou ne disposaient pas d’un bot de trading Telegram, mais uniquement d’un canal communautaire Telegram régulier. Certains projets ont des DApps externes avec les mêmes fonctionnalités qu’Unibot, tandis que d’autres ont des feuilles de route qui indiquent que l’intégration de Telegram sera mise en œuvre à l’avenir.
D’autres projets n’ont pas ces caractéristiques, mais leur présence sur cette liste est peut-être révélatrice du récit croisé que nous avons mentionné plus tôt. Ces projets peuvent s’auto-annoncer comme des projets de type OTC lorsqu’ils soumettent leurs demandes à CoinGecko et indiquer l’objectif de l’intégration ou le seront à l’avenir. Nous avons vu comment le battage médiatique narratif peut amplifier des catégories spécifiques de jetons, certains existant même comme étant des « mèmes », même si le projet n’a rien à voir avec la classe à laquelle il est affecté. D’après notre analyse, l’impact de ce type de battage narratif est si important qu’il peut expliquer en partie cette divergence.
Ecrire à la fin
Chaque fois qu’un nouveau récit devient populaire dans la communauté de la monnaie numérique, il y aura une pléthore de projets similaires qui continueront d’être publiés sous le même récit, dont beaucoup sont soit des escroqueries de sortie, soit des tentatives de vol d’actifs des investisseurs, et TBT ne fait pas exception à cet égard.
Le développement de TBT pourrait être une innovation unique pour la communauté DeFi. Bien que l’utilité de ces jetons ne soit pas claire, l’émergence de plateformes similaires offre aux investisseurs de nouvelles façons d’agréger les données dans leurs stratégies de trading. Cependant, les utilisateurs doivent être très prudents avec ces plateformes. **
Dans l’espace TBT, les projets existent sous la forme de mèmes, et leur valeur peut disparaître du jour au lendemain, ce qui nous oblige à être prudents et informés. De nombreux projets ne fournissent pas aux utilisateurs une documentation claire sur l’endroit et la manière dont leurs clés de portefeuille sont stockées, il y a donc un risque énorme d’inconnues.
Les utilisateurs ne doivent pas envisager d’utiliser ces plates-formes pour le stockage. Les utilisateurs doivent également faire preuve de prudence lorsqu’ils lient des portefeuilles externes à ces plateformes ou interagissent avec des sites Web générés par ces éléments.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analyse des incidents d’attaque Unibot : Après Maestrobot, le projet Telegram Bot a de nouveau été exploité de manière malveillante
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022556/cnjyy42la5bhy1fv!webp)
À 12 h 39 min 23 s le 31 octobre 2023, heure de Beijing, **Unibot a été exploité de manière malveillante et a perdu 640 000 $ d’actifs. **Un attaquant a exploité une vulnérabilité d'« appel arbitraire » dans le contrat du routeur Unibot pour transférer à son nom 640 000 $ de divers jetons préautorisés au contrat de routage.
Jetons d’abord un coup d’œil à l’analyse des vulnérabilités et au processus d’attaque de cet incident.
Analyse des vulnérabilités
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022621/tgok7idxkfx8z9bm!webp)
La fonction 0xb2bd16ab() ne vérifie pas correctement les paramètres d’entrée, en particulier g 0 et g 4, qui sont utilisés pour appeler arbitrairement le contrat de jeton externe et exécuter la méthode 'transferFrom()'.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022644/jel7r8e6ov2w3gxi!webp)
Processus d’attaque
L’attaque a commencé à 12 h 39 min 23 s, heure de Beijing, le 31 et a duré jusqu’à 14 h 09 min 47 s le 31. Au cours de cette période, l’attaquant a exécuté 22 transactions d’attaque, appelant la méthode « 0x5456a7bf() » sur le contrat d’attaque, qui a appelé à plusieurs reprises la méthode « 0xb2bd16ab() » dans le contrat du routeur Unibot pour transférer divers jetons de l’adresse de la victime vers son propre compte.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01022752/a6t9jtf2v62t3cdh!webp)
Au total, 42 jetons ont été transférés de 364 adresses de victimes via le routeur aux attaquants, que les exploiteurs ont ensuite vendus pour un total de 355,5 ETH (environ 640 000 $). **
L’équipe d’Unibot a par la suite réagi en déployant un nouveau contrat de routeur. Sur leur compte X officiel, ils ont également annoncé un plan d’indemnisation pour toutes les victimes. Actuellement, la totalité des 355,5 ETH ont été transférés sur Tornado.Cash.
Bots Telegram
**Cette attaque est très similaire à l’incident précédent de Maestrobot. Le 25 octobre, CertiK a émis un avertissement sur la plate-forme X indiquant que le contrat de routeur Maestro Bots du projet de bot Telegram avait été attaqué, entraînant une perte d’environ 500 000 $.
Les bots Telegram sont un domaine émergent dans le monde du Web 3.0 qui permet aux utilisateurs d’effectuer diverses opérations DeFi via l’interface Telegram tout en y intégrant des jetons. Cependant, la distinction entre l’innovation authentique et les illusions déroutantes devient de plus en plus complexe.
L’équipe de sécurité de CertiK a mené une étude sur 61 éléments de la liste des jetons de bot Telegram de CoinGecko et a constaté que près de 40 % d’entre eux étaient soupçonnés d’être dormants, potentiellement frauduleux ou risquant de ne pas pouvoir se remettre de la forte vente. Les mécanismes de trading de ces plateformes sont sans aucun doute innovants, mais beaucoup manquent de détails techniques clés, en particulier d’informations sur la gestion des clés privées dans les portefeuilles in-app. Nous recommandons aux utilisateurs de faire preuve d’une extrême prudence lorsqu’ils utilisent ces plateformes, de minimiser les interactions avec celles-ci et d’éviter de stocker des ressources pendant de longues périodes.
En savoir plus sur les bots Telegram et leurs tokens
**Les bots Telegram sont des programmes automatisés qui s’exécutent via les programmes de chat Telegram. Ils peuvent effectuer des transactions, fournir des données de marché aux utilisateurs, évaluer le sentiment sur les médias sociaux et interagir avec des contrats intelligents grâce à des commandes exécutées initiées par l’interface Telegram. Ce type de bot existe depuis des années, mais ces dernières années, il a gagné du terrain avec l’avènement du jeton de bot Telegram.
Le jeton de bot Telegram est le jeton natif intégré au bot Telegram et est principalement utilisé pour des fonctions de trading diversifiées telles que l’exécution de transactions DEX, la gestion de portefeuilles entre portefeuilles, le yield farming et d’autres opérations possibles liées à la DeFi. Ces jetons permettent essentiellement aux utilisateurs de se connecter à l’ensemble de la DeFi simplement en interagissant avec l’interface Telegram. Si ces programmes peuvent rester sécurisés et fonctionner correctement pendant longtemps, cela pourrait avoir un impact significatif sur l’accessibilité globale de la DeFi. **
Après le 20 juillet de cette année, la popularité de ces jetons a considérablement augmenté, certains augmentant même de plus de 1000%. Cette tendance reflète la frénésie cyclique courante dans la communauté Web3.0, alimentée par la résonance narrative de la communauté monétaire Web3.0 sur la plateforme X (anciennement Twitter).
En particulier, après l’arrivée d’Unibot, un grand nombre de TBT ont émergé. Au 3 août 2023, la colonne des jetons de bot de CoinGecko répertoriait 61 systèmes de ce type.
Traverser le carrefour du récit
TBT (Telegram Bot Token) occupe une position unique dans l’espace Web3.0. Sur la plate-forme X (anciennement Twitter), les amateurs de monnaie Web3.0 en parlent souvent comme de jetons utilitaires. Auparavant, le terme « utilité » était associé à des méta-récits dans l’espace monétaire du Web 3.0, impliquant souvent des histoires provenant d’industries spécialisées telles que l’intelligence artificielle, la fintech, la logistique, les transactions transfrontalières, etc. TBT a été développé à l’origine avec un récit « utilitaire » pour décentraliser et affiner les activités de trading grâce à une interface utilisateur innovante. Cependant, TBT est allé au-delà d’un seul méta-récit utilitaire et a trouvé une résonance dans une variété de récits de mèmes et de non-mèmes.
Dans le même temps, au fur et à mesure de l’évolution du récit TBT, un battage médiatique périodique autour des jetons de mèmes de mini-jeux a émergé, en particulier avec un projet appelé « $HAMS ». $HAMS s’agit d’un jeton mème de courte durée qui permet aux utilisateurs de placer des paris sur des diffusions en direct de matchs de hamsters. Cependant, $HAMS est décédé peu de temps après le lancement en raison d’accusations de membres de la communauté selon lesquelles l’opérateur réutilisait des séquences vidéo de hamsters. Cela a donné naissance à divers autres jetons commémoratifs de jeu, également connus sous le nom de TBT. L’un des jetons s’appelle « $TETRIS », où les utilisateurs peuvent jouer et participer à des courses de Tetris entre joueurs. Le lien entre certains jetons commémoratifs du jeu a été formé par le fait d’être largement mentionné sur la plate-forme X.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01023011/4hyfzrordb1wtexu!webp)
Un autre exemple d’intersection narrative TBT implique l’IA PAAL. Bien qu’il ne s’agisse pas d’un mème dédié, le projet a développé un chatbot Telegram de type ChatGPT. La structure du jeton et du projet est également similaire à celle d’autres structures TBT. Curieusement, le projet ne semble pas créer un chatbot Telegram, mais fournit plutôt une interface Web de type ChatGPT. Cependant, le bot peut être intégré dans le canal Telegram personnel de l’utilisateur via l’API.
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01023038/tic6p7bpbfnu24gf!webp)
Classification TBT de CoinGecko
Peu de temps après la sortie d’Unibot, CoinGecko a publié sa liste détaillée des TBT. La liste a été initialement publiée vers le 20 juillet et contient environ 30 jetons. En quelques semaines seulement, ce nombre est passé à 61. Nous avons analysé la liste à l’aide de diverses méthodes, y compris une combinaison d’indicateurs tels que la dynamique des prix, la dynamique de la liquidité et l’activité de trading, et les avons classés selon qu’ils sont susceptibles de mourir ou qu’ils sont toujours activement négociés. La répartition en août est illustrée dans le graphique à barres ci-dessous :
! [Analyse des incidents d’attaque Unibot : après Maestrobot, le projet de bot Telegram a de nouveau été exploité] (https://piccdn.0daily.com/202311/01023058/ratgyss6if20n83m!webp) Sur ces 61 projets, nous en classons 37 comme actifs et 24 comme décédés ou possiblement décédés. Ces projets sont soit en baisse de plus de 85 %, ils ont peu ou pas de liquidités dans leurs pools, et n’ont pas d’activité, soit ils sont susceptibles d’être des escroqueries de sortie. C’est-à-dire que près de 40 % des articles de cette catégorie sont morts ou ont peu de chances de se rétablir.
Il convient de mentionner que le portefeuille fourni lors de l’enregistrement d’un compte de bot Telegram est automatiquement généré, tandis que la clé privée est fournie ultérieurement. Unibot ne dit pas comment ni où ces clés privées sont stockées, localement ou en arrière-plan du serveur. Cela signifie qu’il est très dangereux d’utiliser ces bots Telegram pour le trading et le stockage de fonds. **
Projets qui n’intègrent pas Telegram
Au cours de nos recherches, nous avons constaté que certains des projets répertoriés comme TBT n’intégraient pas leurs jetons dans Telegram ou ne disposaient pas d’un bot de trading Telegram, mais uniquement d’un canal communautaire Telegram régulier. Certains projets ont des DApps externes avec les mêmes fonctionnalités qu’Unibot, tandis que d’autres ont des feuilles de route qui indiquent que l’intégration de Telegram sera mise en œuvre à l’avenir.
D’autres projets n’ont pas ces caractéristiques, mais leur présence sur cette liste est peut-être révélatrice du récit croisé que nous avons mentionné plus tôt. Ces projets peuvent s’auto-annoncer comme des projets de type OTC lorsqu’ils soumettent leurs demandes à CoinGecko et indiquer l’objectif de l’intégration ou le seront à l’avenir. Nous avons vu comment le battage médiatique narratif peut amplifier des catégories spécifiques de jetons, certains existant même comme étant des « mèmes », même si le projet n’a rien à voir avec la classe à laquelle il est affecté. D’après notre analyse, l’impact de ce type de battage narratif est si important qu’il peut expliquer en partie cette divergence.
Ecrire à la fin
Chaque fois qu’un nouveau récit devient populaire dans la communauté de la monnaie numérique, il y aura une pléthore de projets similaires qui continueront d’être publiés sous le même récit, dont beaucoup sont soit des escroqueries de sortie, soit des tentatives de vol d’actifs des investisseurs, et TBT ne fait pas exception à cet égard.
Le développement de TBT pourrait être une innovation unique pour la communauté DeFi. Bien que l’utilité de ces jetons ne soit pas claire, l’émergence de plateformes similaires offre aux investisseurs de nouvelles façons d’agréger les données dans leurs stratégies de trading. Cependant, les utilisateurs doivent être très prudents avec ces plateformes. **
Dans l’espace TBT, les projets existent sous la forme de mèmes, et leur valeur peut disparaître du jour au lendemain, ce qui nous oblige à être prudents et informés. De nombreux projets ne fournissent pas aux utilisateurs une documentation claire sur l’endroit et la manière dont leurs clés de portefeuille sont stockées, il y a donc un risque énorme d’inconnues.
Les utilisateurs ne doivent pas envisager d’utiliser ces plates-formes pour le stockage. Les utilisateurs doivent également faire preuve de prudence lorsqu’ils lient des portefeuilles externes à ces plateformes ou interagissent avec des sites Web générés par ces éléments.