Le 31 octobre, Unibot a été attaqué, et Unibot a officiellement publié une annonce disant : « La raison de l’attaque est qu’il y a une vulnérabilité dans l’approbation des jetons dans le nouveau routeur, et toute perte de fonds due à l’erreur du nouveau routeur sera compensée ; La clé et le portefeuille de l’utilisateur sont sécurisés. "
Il est entendu que l’attaque a causé plus de 600 000 $ de dégâts. Bien que l’équipe ait promis de tout payer. Cependant, cette attaque a mis en évidence les problèmes d’Unibot et même de Telegram Bot lui-même.
Dans cet incident, certains professionnels ont souligné que l’attaque ressemblait davantage à un acte fantôme prémédité : comme le contrat n’était pas open source, les pirates ont facilement trouvé des vulnérabilités, et une semaine après le lancement d’Unibot, les pirates ont déployé l’attaque, qui a hiberné pendant six mois.
À partir de cet incident, nous pouvons avoir un aperçu du fait que Telegram Bot lui-même a également de gros problèmes de sécurité, en particulier ceux impliquant de l’argent et des transactions, qui ont en fait des exigences de sécurité élevées, mais il y a généralement des problèmes tels que le code n’est pas open source et la clé privée n’est pas un stockage localisé.
Problèmes courants exposés par Unibot
L’attaque contre Unibot semble être attendue. Il y a en fait un consensus parmi les initiés de l’industrie : n’osez pas y mettre trop d’argent, car des bots Telegram similaires ne semblent pas être sûrs.
À l’heure actuelle, l’industrie de la cryptographie a essentiellement formé deux ensembles de logiques et de voies de développement en termes de sécurité. La première est une bourse centralisée, qui est adossée à des actifs et soumise à la réglementation gouvernementale. La confiance du public découle toujours de la réputation des grandes entreprises et des organismes gouvernementaux qui la supervisent.
L’autre voie est celle des produits décentralisés tels que Defi et les portefeuilles auto-dépositaires. Utilisez des contrats et des codes qui ont été audités pour assurer autant que possible la sécurité des actifs des utilisateurs. Bien sûr, ce qui est plus important dans cette voie, c’est que les utilisateurs soient responsables d’eux-mêmes et maîtrisent les connaissances en matière de sécurité de l’industrie de la blockchain.
Mais pour un produit comme Unibot, il agit en fait comme un outil pour faire le pont entre les mondes Web2 et Web3, et pour un produit Web2.5, comment assurer sa sécurité ?
Regardons d’abord quels aspects d’Unibot lui-même sont défectueux, tout d’abord, il y a des problèmes avec le contrat d’Unibot lui-même. Jerry, qui est également un entrepreneur de bots dans les transactions Telegram, a déclaré à Golden Finance que l’attaque était simplement que le pirate avait manipulé le contrat Unibot, et que le contrat lui-même avait été autorisé par le jeton de l’utilisateur, de sorte que le pirate a manipulé le contrat pour transférer le jeton de l’utilisateur sur son propre compte.
Selon l’analyse de Jerry’s, cette vulnérabilité aurait dû être évitée lors des précédents audits de sécurité. Le projet n’aurait pas dû faire l’objet d’un audit rigoureux, et il n’y a aucune nouvelle d’un audit contractuel sur l’information publique. Et ce n’est pas open source.
De l’avis de Jerry, en plus des problèmes qui ont été exposés jusqu’à présent, le produit Unibot lui-même présente également de nombreux problèmes, tels que la sécurité des clés privées des utilisateurs. Lorsqu’un utilisateur utilise Unibot, sa clé privée est envoyée directement à la boîte de dialogue de Telegram. Les initiés de l’industrie avec un peu de bon sens comprennent que les clés privées ne devraient jamais être rendues publiques.
L’utilisateur comprend qu’après le comportement d’envoi à la boîte de dialogue, Unibot peut réellement saisir la clé privée de l’utilisateur. Si l’équipe de projet est disposée à le faire, elle peut faire le mal.
De l’avis de Jerry, afin d’éviter une telle situation, ces robots de trading devraient être en mesure de stocker des clés privées localement. Bien sûr, il est également possible de comprendre la manière dont les clés privées sont détenues par des robots de trading comme Unibot. Étant donné que cette méthode peut être utilisée pour l’interaction conversationnelle, l’expérience utilisateur sera fluide lors de la transaction, ce qui ne nécessite pas d’autorisation de signature pour chaque transaction comme le portefeuille MetaMask.
Comment s’améliorer
Face aux problèmes ci-dessus, la solution n’est pas difficile, mais pour les bots existants, le coût est élevé.
Par exemple, dans le sens de la sécurité des clés privées des utilisateurs, ce qui devrait être mis en œuvre est le stockage localisé des clés privées, mais si le projet de bot existant veut le faire, alors tous les utilisateurs doivent être migrés. Selon le golden financial reporter, à l’heure actuelle, dans cette direction, il y a déjà des équipes qui font de l’entrepreneuriat connexe, et en raison de la récente attaque contre Unibot, les institutions de capital-risque concernées ont également montré un plus grand enthousiasme pour les projets d’entrepreneuriat de sécurité de BOT.
Et nous adoptons une vision plus large, comment ce produit qui construit un pont entre le Web2 et le Web3 devrait-il assurer la sécurité des fonds et des données personnelles des utilisateurs ? Ou que devrait faire Telegram lui-même ?
En passant au peigne fin le développement de Telegram, nous pouvons voir qu’en fait, dans sa pratique passée, il y a eu des pratiques correspondantes pour assurer la sécurité des actifs des utilisateurs, comme le lancement du nouveau portefeuille auto-dépositaire de TON Space. Et en termes de sécurité de l’information, les utilisateurs peuvent choisir le chiffrement de bout en bout de la conversation.
Les bots sur Telegram sont mixtes, et il y a même des cas où les pirates utilisent de faux bots pour voler les actifs des utilisateurs. Dans la situation actuelle de l’intégration croissante du Web2 et du Web3, en termes de sécurité du capital, en particulier cet outil pour construire des ponts, nous avons besoin de plus de moyens pour assurer l’intégration du Web2 et du Web3. Par exemple, Telegram lui-même devrait jouer un certain rôle dans la supervision et la punition après le signalement des utilisateurs, et en tant que projet combiné avec l’industrie de la blockchain, il devrait faire des audits de contrats autant que possible, du code source ouvert, etc.
Avec le développement de l’industrie, la façon de résoudre les différents problèmes de ce produit « pont » développera certainement le consensus de l’industrie.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Quels sont les problèmes de sécurité des produits bots exposés par l’attaque Unibot ?
Jessy, journaliste financière en or
Le 31 octobre, Unibot a été attaqué, et Unibot a officiellement publié une annonce disant : « La raison de l’attaque est qu’il y a une vulnérabilité dans l’approbation des jetons dans le nouveau routeur, et toute perte de fonds due à l’erreur du nouveau routeur sera compensée ; La clé et le portefeuille de l’utilisateur sont sécurisés. "
Il est entendu que l’attaque a causé plus de 600 000 $ de dégâts. Bien que l’équipe ait promis de tout payer. Cependant, cette attaque a mis en évidence les problèmes d’Unibot et même de Telegram Bot lui-même.
Dans cet incident, certains professionnels ont souligné que l’attaque ressemblait davantage à un acte fantôme prémédité : comme le contrat n’était pas open source, les pirates ont facilement trouvé des vulnérabilités, et une semaine après le lancement d’Unibot, les pirates ont déployé l’attaque, qui a hiberné pendant six mois.
À partir de cet incident, nous pouvons avoir un aperçu du fait que Telegram Bot lui-même a également de gros problèmes de sécurité, en particulier ceux impliquant de l’argent et des transactions, qui ont en fait des exigences de sécurité élevées, mais il y a généralement des problèmes tels que le code n’est pas open source et la clé privée n’est pas un stockage localisé.
Problèmes courants exposés par Unibot
L’attaque contre Unibot semble être attendue. Il y a en fait un consensus parmi les initiés de l’industrie : n’osez pas y mettre trop d’argent, car des bots Telegram similaires ne semblent pas être sûrs.
À l’heure actuelle, l’industrie de la cryptographie a essentiellement formé deux ensembles de logiques et de voies de développement en termes de sécurité. La première est une bourse centralisée, qui est adossée à des actifs et soumise à la réglementation gouvernementale. La confiance du public découle toujours de la réputation des grandes entreprises et des organismes gouvernementaux qui la supervisent.
L’autre voie est celle des produits décentralisés tels que Defi et les portefeuilles auto-dépositaires. Utilisez des contrats et des codes qui ont été audités pour assurer autant que possible la sécurité des actifs des utilisateurs. Bien sûr, ce qui est plus important dans cette voie, c’est que les utilisateurs soient responsables d’eux-mêmes et maîtrisent les connaissances en matière de sécurité de l’industrie de la blockchain.
Mais pour un produit comme Unibot, il agit en fait comme un outil pour faire le pont entre les mondes Web2 et Web3, et pour un produit Web2.5, comment assurer sa sécurité ?
Regardons d’abord quels aspects d’Unibot lui-même sont défectueux, tout d’abord, il y a des problèmes avec le contrat d’Unibot lui-même. Jerry, qui est également un entrepreneur de bots dans les transactions Telegram, a déclaré à Golden Finance que l’attaque était simplement que le pirate avait manipulé le contrat Unibot, et que le contrat lui-même avait été autorisé par le jeton de l’utilisateur, de sorte que le pirate a manipulé le contrat pour transférer le jeton de l’utilisateur sur son propre compte.
Selon l’analyse de Jerry’s, cette vulnérabilité aurait dû être évitée lors des précédents audits de sécurité. Le projet n’aurait pas dû faire l’objet d’un audit rigoureux, et il n’y a aucune nouvelle d’un audit contractuel sur l’information publique. Et ce n’est pas open source.
De l’avis de Jerry, en plus des problèmes qui ont été exposés jusqu’à présent, le produit Unibot lui-même présente également de nombreux problèmes, tels que la sécurité des clés privées des utilisateurs. Lorsqu’un utilisateur utilise Unibot, sa clé privée est envoyée directement à la boîte de dialogue de Telegram. Les initiés de l’industrie avec un peu de bon sens comprennent que les clés privées ne devraient jamais être rendues publiques.
L’utilisateur comprend qu’après le comportement d’envoi à la boîte de dialogue, Unibot peut réellement saisir la clé privée de l’utilisateur. Si l’équipe de projet est disposée à le faire, elle peut faire le mal.
De l’avis de Jerry, afin d’éviter une telle situation, ces robots de trading devraient être en mesure de stocker des clés privées localement. Bien sûr, il est également possible de comprendre la manière dont les clés privées sont détenues par des robots de trading comme Unibot. Étant donné que cette méthode peut être utilisée pour l’interaction conversationnelle, l’expérience utilisateur sera fluide lors de la transaction, ce qui ne nécessite pas d’autorisation de signature pour chaque transaction comme le portefeuille MetaMask.
Comment s’améliorer
Face aux problèmes ci-dessus, la solution n’est pas difficile, mais pour les bots existants, le coût est élevé.
Par exemple, dans le sens de la sécurité des clés privées des utilisateurs, ce qui devrait être mis en œuvre est le stockage localisé des clés privées, mais si le projet de bot existant veut le faire, alors tous les utilisateurs doivent être migrés. Selon le golden financial reporter, à l’heure actuelle, dans cette direction, il y a déjà des équipes qui font de l’entrepreneuriat connexe, et en raison de la récente attaque contre Unibot, les institutions de capital-risque concernées ont également montré un plus grand enthousiasme pour les projets d’entrepreneuriat de sécurité de BOT.
Et nous adoptons une vision plus large, comment ce produit qui construit un pont entre le Web2 et le Web3 devrait-il assurer la sécurité des fonds et des données personnelles des utilisateurs ? Ou que devrait faire Telegram lui-même ?
En passant au peigne fin le développement de Telegram, nous pouvons voir qu’en fait, dans sa pratique passée, il y a eu des pratiques correspondantes pour assurer la sécurité des actifs des utilisateurs, comme le lancement du nouveau portefeuille auto-dépositaire de TON Space. Et en termes de sécurité de l’information, les utilisateurs peuvent choisir le chiffrement de bout en bout de la conversation.
Les bots sur Telegram sont mixtes, et il y a même des cas où les pirates utilisent de faux bots pour voler les actifs des utilisateurs. Dans la situation actuelle de l’intégration croissante du Web2 et du Web3, en termes de sécurité du capital, en particulier cet outil pour construire des ponts, nous avons besoin de plus de moyens pour assurer l’intégration du Web2 et du Web3. Par exemple, Telegram lui-même devrait jouer un certain rôle dans la supervision et la punition après le signalement des utilisateurs, et en tant que projet combiné avec l’industrie de la blockchain, il devrait faire des audits de contrats autant que possible, du code source ouvert, etc.
Avec le développement de l’industrie, la façon de résoudre les différents problèmes de ce produit « pont » développera certainement le consensus de l’industrie.