Pada tanggal 31 Oktober, Unibot diserang, dan Unibot secara resmi mengeluarkan pengumuman yang mengatakan: "Alasan serangan itu adalah bahwa ada kerentanan dalam persetujuan token di router baru, dan setiap kehilangan dana karena kesalahan router baru akan dikompensasi; Kunci dan dompet pengguna aman. "
Dapat dipahami bahwa serangan itu menyebabkan kerusakan lebih dari $ 600.000. Meskipun tim telah berjanji untuk membayar semuanya. Namun, serangan ini telah mengungkap masalah Unibot dan bahkan Telegram Bot itu sendiri.
Dalam insiden ini, beberapa profesional menunjukkan bahwa serangan itu lebih seperti tindakan hantu yang direncanakan: karena kontrak itu tidak bersumber terbuka, peretas dengan mudah menemukan kerentanan, dan seminggu setelah Unibot diluncurkan, peretas menyebarkan serangan, yang berhibernasi selama setengah tahun.
Dari kejadian ini, kita bisa melihat sekilas fakta bahwa Telegram Bot sendiri juga memiliki masalah keamanan yang besar, terutama yang melibatkan uang dan transaksi, yang sebenarnya memiliki persyaratan keamanan tinggi, tetapi umumnya ada masalah seperti kode bukan open source dan kunci pribadi bukan penyimpanan lokal.
Masalah umum yang diekspos oleh Unibot
Serangan terhadap Unibot tampaknya diharapkan. Sebenarnya ada konsensus di antara orang dalam industri: jangan berani memasukkan terlalu banyak uang ke dalamnya, karena bot Telegram serupa tampaknya tidak aman.
Saat ini, industri crypto pada dasarnya telah membentuk dua set logika dan jalur pengembangan dalam hal keamanan. Yang pertama adalah pertukaran terpusat, yang didukung aset dan tunduk pada peraturan pemerintah. Kepercayaan publik masih berawal dari reputasi perusahaan besar dan instansi pemerintah yang mengawasinya.
Jalur lainnya adalah produk terdesentralisasi seperti Defi dan dompet self-custody. Gunakan kontrak dan kode yang telah diaudit untuk memastikan keamanan aset pengguna sebanyak mungkin. Tentu saja, yang lebih penting dalam jalur ini adalah pengguna harus bertanggung jawab atas diri mereka sendiri dan menguasai pengetahuan keamanan industri blockchain.
Tetapi untuk produk seperti Unibot, itu sebenarnya bertindak sebagai alat untuk menjembatani dunia Web2 dan Web3, dan untuk produk Web2.5, bagaimana memastikan keamanannya?
Pertama-tama mari kita lihat aspek apa dari Unibot itu sendiri yang cacat, pertama-tama, ada masalah dengan kontrak Unibot itu sendiri. Jerry, yang juga seorang pengusaha bot dalam transaksi Telegram, mengatakan kepada Golden Finance bahwa serangan itu hanya karena peretas memanipulasi kontrak Unibot, dan kontrak itu sendiri disahkan oleh token pengguna, sehingga peretas memanipulasi kontrak untuk mentransfer token pengguna ke akunnya sendiri.
Menurut analisis Jerry, kerentanan ini seharusnya dihindari dalam audit keamanan sebelumnya. Proyek seharusnya tidak diaudit secara ketat, dan tidak ada berita tentang audit kontrak pada informasi publik. Dan itu bukan open source.
Dalam pandangan Jerry, selain masalah yang terekspos selama ini, produk Unibot sendiri juga memiliki banyak masalah, seperti keamanan kunci pribadi pengguna. Ketika pengguna menggunakan Unibot, kunci pribadi mereka dikirim langsung ke kotak dialog Telegram. Orang dalam industri dengan sedikit akal sehat memahami bahwa kunci pribadi tidak boleh dipublikasikan.
Pengguna memahami bahwa setelah perilaku mengirim ke kotak dialog terjadi, Unibot benar-benar dapat memahami kunci pribadi pengguna. Jika tim proyek mau, tim proyek dapat melakukan kejahatan.
Menurut Jerry, untuk menghindari situasi seperti itu, bot perdagangan ini harus dapat menyimpan kunci pribadi secara lokal. Tentu saja, juga dimungkinkan untuk memahami cara kunci pribadi ditahan oleh bot perdagangan seperti Unibot. Karena metode ini dapat digunakan untuk interaksi percakapan, pengalaman pengguna akan lancar saat bertransaksi, yang tidak memerlukan otorisasi tanda tangan untuk setiap transaksi seperti dompet MetaMask.
Cara meningkatkan
Dalam menghadapi masalah di atas, solusinya tidak sulit, tetapi untuk bot yang ada, biayanya tinggi.
Misalnya, ke arah keamanan kunci privat pengguna, yang harus diterapkan adalah penyimpanan kunci privat yang dilokalkan, tetapi jika proyek bot yang ada ingin melakukan ini, maka semua pengguna perlu dimigrasikan. Menurut reporter keuangan emas, saat ini, ke arah ini, sudah ada beberapa tim yang melakukan kewirausahaan terkait, dan karena serangan baru-baru ini terhadap Unibot, lembaga modal ventura yang relevan juga menunjukkan antusiasme yang lebih tinggi untuk proyek kewirausahaan keamanan BOT.
Dan kami mengambil pandangan yang lebih luas, bagaimana seharusnya produk yang membangun jembatan antara Web2 dan Web3 ini memastikan keamanan dana dan data pribadi pengguna? Atau apa yang harus dilakukan Telegram sendiri?
Menyisir pengembangan Telegram, kita dapat melihat bahwa sebenarnya, dalam praktik sebelumnya, ada beberapa praktik terkait dalam memastikan keamanan aset pengguna, seperti peluncuran dompet self-custody baru TON Space. Dan dalam hal keamanan informasi, pengguna dapat memilih enkripsi percakapan ujung ke ujung.
Bot di Telegram beragam, dan bahkan ada kasus di mana peretas menggunakan bot palsu untuk mencuri aset pengguna. Dalam situasi peningkatan integrasi Web2 dan Web3 saat ini, dalam hal keamanan modal, terutama alat ini untuk membangun jembatan, kami membutuhkan lebih banyak cara untuk memastikan integrasi Web2 dan Web3. Misalnya, Telegram sendiri sebenarnya harus memainkan peran tertentu dalam pengawasan dan hukuman setelah pelaporan pengguna, dan sebagai proyek yang dikombinasikan dengan industri blockchain, Telegram harus melakukan audit kontrak sebanyak mungkin, kode sumber terbuka, dan sebagainya.
Dengan perkembangan industri, bagaimana menyelesaikan berbagai masalah produk "jembatan" ini pasti akan mengembangkan konsensus industri.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Masalah keamanan apa dari produk bot yang terpapar oleh serangan Unibot?
Jurnalis keuangan emas Jessy
Pada tanggal 31 Oktober, Unibot diserang, dan Unibot secara resmi mengeluarkan pengumuman yang mengatakan: "Alasan serangan itu adalah bahwa ada kerentanan dalam persetujuan token di router baru, dan setiap kehilangan dana karena kesalahan router baru akan dikompensasi; Kunci dan dompet pengguna aman. "
Dapat dipahami bahwa serangan itu menyebabkan kerusakan lebih dari $ 600.000. Meskipun tim telah berjanji untuk membayar semuanya. Namun, serangan ini telah mengungkap masalah Unibot dan bahkan Telegram Bot itu sendiri.
Dalam insiden ini, beberapa profesional menunjukkan bahwa serangan itu lebih seperti tindakan hantu yang direncanakan: karena kontrak itu tidak bersumber terbuka, peretas dengan mudah menemukan kerentanan, dan seminggu setelah Unibot diluncurkan, peretas menyebarkan serangan, yang berhibernasi selama setengah tahun.
Dari kejadian ini, kita bisa melihat sekilas fakta bahwa Telegram Bot sendiri juga memiliki masalah keamanan yang besar, terutama yang melibatkan uang dan transaksi, yang sebenarnya memiliki persyaratan keamanan tinggi, tetapi umumnya ada masalah seperti kode bukan open source dan kunci pribadi bukan penyimpanan lokal.
Masalah umum yang diekspos oleh Unibot
Serangan terhadap Unibot tampaknya diharapkan. Sebenarnya ada konsensus di antara orang dalam industri: jangan berani memasukkan terlalu banyak uang ke dalamnya, karena bot Telegram serupa tampaknya tidak aman.
Saat ini, industri crypto pada dasarnya telah membentuk dua set logika dan jalur pengembangan dalam hal keamanan. Yang pertama adalah pertukaran terpusat, yang didukung aset dan tunduk pada peraturan pemerintah. Kepercayaan publik masih berawal dari reputasi perusahaan besar dan instansi pemerintah yang mengawasinya.
Jalur lainnya adalah produk terdesentralisasi seperti Defi dan dompet self-custody. Gunakan kontrak dan kode yang telah diaudit untuk memastikan keamanan aset pengguna sebanyak mungkin. Tentu saja, yang lebih penting dalam jalur ini adalah pengguna harus bertanggung jawab atas diri mereka sendiri dan menguasai pengetahuan keamanan industri blockchain.
Tetapi untuk produk seperti Unibot, itu sebenarnya bertindak sebagai alat untuk menjembatani dunia Web2 dan Web3, dan untuk produk Web2.5, bagaimana memastikan keamanannya?
Pertama-tama mari kita lihat aspek apa dari Unibot itu sendiri yang cacat, pertama-tama, ada masalah dengan kontrak Unibot itu sendiri. Jerry, yang juga seorang pengusaha bot dalam transaksi Telegram, mengatakan kepada Golden Finance bahwa serangan itu hanya karena peretas memanipulasi kontrak Unibot, dan kontrak itu sendiri disahkan oleh token pengguna, sehingga peretas memanipulasi kontrak untuk mentransfer token pengguna ke akunnya sendiri.
Menurut analisis Jerry, kerentanan ini seharusnya dihindari dalam audit keamanan sebelumnya. Proyek seharusnya tidak diaudit secara ketat, dan tidak ada berita tentang audit kontrak pada informasi publik. Dan itu bukan open source.
Dalam pandangan Jerry, selain masalah yang terekspos selama ini, produk Unibot sendiri juga memiliki banyak masalah, seperti keamanan kunci pribadi pengguna. Ketika pengguna menggunakan Unibot, kunci pribadi mereka dikirim langsung ke kotak dialog Telegram. Orang dalam industri dengan sedikit akal sehat memahami bahwa kunci pribadi tidak boleh dipublikasikan.
Pengguna memahami bahwa setelah perilaku mengirim ke kotak dialog terjadi, Unibot benar-benar dapat memahami kunci pribadi pengguna. Jika tim proyek mau, tim proyek dapat melakukan kejahatan.
Menurut Jerry, untuk menghindari situasi seperti itu, bot perdagangan ini harus dapat menyimpan kunci pribadi secara lokal. Tentu saja, juga dimungkinkan untuk memahami cara kunci pribadi ditahan oleh bot perdagangan seperti Unibot. Karena metode ini dapat digunakan untuk interaksi percakapan, pengalaman pengguna akan lancar saat bertransaksi, yang tidak memerlukan otorisasi tanda tangan untuk setiap transaksi seperti dompet MetaMask.
Cara meningkatkan
Dalam menghadapi masalah di atas, solusinya tidak sulit, tetapi untuk bot yang ada, biayanya tinggi.
Misalnya, ke arah keamanan kunci privat pengguna, yang harus diterapkan adalah penyimpanan kunci privat yang dilokalkan, tetapi jika proyek bot yang ada ingin melakukan ini, maka semua pengguna perlu dimigrasikan. Menurut reporter keuangan emas, saat ini, ke arah ini, sudah ada beberapa tim yang melakukan kewirausahaan terkait, dan karena serangan baru-baru ini terhadap Unibot, lembaga modal ventura yang relevan juga menunjukkan antusiasme yang lebih tinggi untuk proyek kewirausahaan keamanan BOT.
Dan kami mengambil pandangan yang lebih luas, bagaimana seharusnya produk yang membangun jembatan antara Web2 dan Web3 ini memastikan keamanan dana dan data pribadi pengguna? Atau apa yang harus dilakukan Telegram sendiri?
Menyisir pengembangan Telegram, kita dapat melihat bahwa sebenarnya, dalam praktik sebelumnya, ada beberapa praktik terkait dalam memastikan keamanan aset pengguna, seperti peluncuran dompet self-custody baru TON Space. Dan dalam hal keamanan informasi, pengguna dapat memilih enkripsi percakapan ujung ke ujung.
Bot di Telegram beragam, dan bahkan ada kasus di mana peretas menggunakan bot palsu untuk mencuri aset pengguna. Dalam situasi peningkatan integrasi Web2 dan Web3 saat ini, dalam hal keamanan modal, terutama alat ini untuk membangun jembatan, kami membutuhkan lebih banyak cara untuk memastikan integrasi Web2 dan Web3. Misalnya, Telegram sendiri sebenarnya harus memainkan peran tertentu dalam pengawasan dan hukuman setelah pelaporan pengguna, dan sebagai proyek yang dikombinasikan dengan industri blockchain, Telegram harus melakukan audit kontrak sebanyak mungkin, kode sumber terbuka, dan sebagainya.
Dengan perkembangan industri, bagaimana menyelesaikan berbagai masalah produk "jembatan" ini pasti akan mengembangkan konsensus industri.