ゴールデン金融ジャーナリストジェシー
10月31日、Unibotが攻撃を受け、Unibotは公式に「攻撃の理由は、新しいルーターのトークン承認に脆弱性があり、新しいルーターのエラーによる資金の損失は補償されるためです。 ユーザーのキーとウォレットは安全です。 "
この攻撃により、600,000ドル以上の損害が発生したと理解されています。 チームはそれをすべて支払うことを約束しましたが。 ただし、この攻撃により、Unibot、さらにはTelegramBot自体の問題が露呈しました。
このインシデントでは、一部の専門家は、この攻撃は計画的な幽霊行為のようなものであると指摘しました:契約がオープンソースではなかったため、ハッカーは簡単に脆弱性を発見し、Unibotが起動されてから1週間後にハッカーが攻撃を展開し、半年間休止状態になりました。
今回の事件から、Telegram Bot自体にも大きなセキュリティ上の問題があり、特に金銭や取引に関するものは、実際には高いセキュリティ要件があるものの、コードがオープンソースではない、秘密鍵がローカライズされたストレージではないなどの問題があるという事実を垣間見ることができます。
Unibotによって公開される一般的な問題
Unibotへの攻撃は予想されたようです。 実際、業界関係者の間では、同様のTelegramボットは安全ではないように見えるため、あえて多額の資金を投入しないでくださいというコンセンサスがあります。
現在、暗号業界は基本的にセキュリティの観点から2つの開発ロジックとパスを形成しています。 1つ目は中央集権的な取引所で、資産に裏打ちされ、政府の規制の対象となります。 国民の信頼は、大企業とそれを監督する政府機関の評判に由来しています。
もう一つの道は、Defiやセルフカストディウォレットなどの分散型製品です。 ユーザーの資産のセキュリティを可能な限り確保するために、監査された契約とコードを使用します。 もちろん、このパスでより重要なことは、ユーザーが自分自身に責任を持ち、ブロックチェーン業界のセキュリティ知識を習得することです。
しかし、Unibotのような製品にとっては、Web2とWeb3の世界をつなぐツールとして機能し、Web2.5製品の場合、そのセキュリティをどのように確保するのでしょうか?
まず、Unibot自体のどのような点に欠陥があるのか、まずUnibotの契約自体に問題があるのかを見ていきましょう。 Telegram取引のボット起業家でもあるJerry氏は、この攻撃は単にハッカーがUnibotの契約を操作しただけで、契約自体がユーザーのトークンによって承認されたため、ハッカーは契約を操作してユーザーのトークンを自分のアカウントに転送したとGolden Financeに語った。
Jerryの分析によると、この脆弱性は以前のセキュリティ監査で回避されるべきでした。 プロジェクトは厳密に監査されるべきではなく、公開情報には契約監査のニュースはありません。 そして、それはオープンソースではありません。
Jerry氏の見解では、これまでに露呈した問題に加えて、Unibot製品自体にもユーザーの秘密鍵のセキュリティなど、多くの問題があります。 ユーザーがUnibotを使用すると、秘密鍵がTelegramのダイアログボックスに直接送信されます。 少し常識のある業界関係者は、秘密鍵は決して公開されるべきではないことを理解しています。
ユーザーは、ダイアログ ボックスへの送信動作が発生した後、Unibot が実際にユーザーの秘密キーを把握できることを理解しています。 プロジェクトチームがその気になれば、プロジェクトチームは悪事を働くことができます。
ジェリーの意見では、このような状況を回避するために、これらの取引ボットは秘密鍵をローカルに保存できる必要があります。 もちろん、Unibotのような取引ボットによって秘密鍵が保管されている方法を理解することも可能です。 この方法は会話型の対話に使用できるため、MetaMaskウォレットのようにトランザクションごとに署名承認を必要としない、取引時のユーザーエクスペリエンスがスムーズになります。
改善方法
上記の問題に直面して、解決策は難しくありませんが、既存のボットの場合、コストが高くなります。
たとえば、ユーザーの秘密鍵のセキュリティの方向では、実装する必要があるのは秘密鍵のローカライズされたストレージですが、既存のボット プロジェクトがこれを行う場合は、すべてのユーザーを移行する必要があります。 ゴールデンファイナンシャルレポーターによると、現在、この方向では、関連する起業家精神を行っているチームがすでにいくつかあり、最近のUnibotへの攻撃により、関連するベンチャーキャピタル機関もBOTのセキュリティ起業家精神プロジェクトに対してより高い熱意を示しています。
そして、より広い視野で、Web2とWeb3の架け橋となるこのプロダクトは、ユーザーの資金や個人データのセキュリティをどのように確保すべきなのでしょうか? または、Telegram自体は何をすべきですか?
Telegramの開発をくまなく調べてみると、実際、過去の慣行では、TON Spaceの新しいセルフカストディウォレットの立ち上げなど、ユーザー資産のセキュリティを確保するために対応するいくつかの慣行があったことがわかります。 また、情報セキュリティの観点から、ユーザーは会話のエンドツーエンドの暗号化を選択できます。
Telegramのボットはまちまちで、ハッカーが偽のボットを使用してユーザー資産を盗むケースさえあります。 Web2とWeb3の統合が進んでいる現在の状況では、資本安全保障の観点から、特にこの橋渡しツールの観点から、Web2とWeb3の統合を確実にするためのより多くの方法が必要です。 例えば、Telegram自体が、ユーザー報告後の監督や処罰において、実際に一定の役割を果たすべきであり、ブロックチェーン業界と一体となったプロジェクトとして、可能な限り契約監査やオープンソースコードなどを行うべきです。
業界の発展に伴い、この「ブリッジ」製品のさまざまな問題をどのように解決するかは、間違いなく業界のコンセンサスを形成します。
10k 人気度
15k 人気度
9k 人気度
17k 人気度
14k 人気度
Unibot攻撃によって露呈するボット製品のセキュリティ上の問題は何ですか?
ゴールデン金融ジャーナリストジェシー
10月31日、Unibotが攻撃を受け、Unibotは公式に「攻撃の理由は、新しいルーターのトークン承認に脆弱性があり、新しいルーターのエラーによる資金の損失は補償されるためです。 ユーザーのキーとウォレットは安全です。 "
この攻撃により、600,000ドル以上の損害が発生したと理解されています。 チームはそれをすべて支払うことを約束しましたが。 ただし、この攻撃により、Unibot、さらにはTelegramBot自体の問題が露呈しました。
このインシデントでは、一部の専門家は、この攻撃は計画的な幽霊行為のようなものであると指摘しました:契約がオープンソースではなかったため、ハッカーは簡単に脆弱性を発見し、Unibotが起動されてから1週間後にハッカーが攻撃を展開し、半年間休止状態になりました。
今回の事件から、Telegram Bot自体にも大きなセキュリティ上の問題があり、特に金銭や取引に関するものは、実際には高いセキュリティ要件があるものの、コードがオープンソースではない、秘密鍵がローカライズされたストレージではないなどの問題があるという事実を垣間見ることができます。
Unibotによって公開される一般的な問題
Unibotへの攻撃は予想されたようです。 実際、業界関係者の間では、同様のTelegramボットは安全ではないように見えるため、あえて多額の資金を投入しないでくださいというコンセンサスがあります。
現在、暗号業界は基本的にセキュリティの観点から2つの開発ロジックとパスを形成しています。 1つ目は中央集権的な取引所で、資産に裏打ちされ、政府の規制の対象となります。 国民の信頼は、大企業とそれを監督する政府機関の評判に由来しています。
もう一つの道は、Defiやセルフカストディウォレットなどの分散型製品です。 ユーザーの資産のセキュリティを可能な限り確保するために、監査された契約とコードを使用します。 もちろん、このパスでより重要なことは、ユーザーが自分自身に責任を持ち、ブロックチェーン業界のセキュリティ知識を習得することです。
しかし、Unibotのような製品にとっては、Web2とWeb3の世界をつなぐツールとして機能し、Web2.5製品の場合、そのセキュリティをどのように確保するのでしょうか?
まず、Unibot自体のどのような点に欠陥があるのか、まずUnibotの契約自体に問題があるのかを見ていきましょう。 Telegram取引のボット起業家でもあるJerry氏は、この攻撃は単にハッカーがUnibotの契約を操作しただけで、契約自体がユーザーのトークンによって承認されたため、ハッカーは契約を操作してユーザーのトークンを自分のアカウントに転送したとGolden Financeに語った。
Jerryの分析によると、この脆弱性は以前のセキュリティ監査で回避されるべきでした。 プロジェクトは厳密に監査されるべきではなく、公開情報には契約監査のニュースはありません。 そして、それはオープンソースではありません。
Jerry氏の見解では、これまでに露呈した問題に加えて、Unibot製品自体にもユーザーの秘密鍵のセキュリティなど、多くの問題があります。 ユーザーがUnibotを使用すると、秘密鍵がTelegramのダイアログボックスに直接送信されます。 少し常識のある業界関係者は、秘密鍵は決して公開されるべきではないことを理解しています。
ユーザーは、ダイアログ ボックスへの送信動作が発生した後、Unibot が実際にユーザーの秘密キーを把握できることを理解しています。 プロジェクトチームがその気になれば、プロジェクトチームは悪事を働くことができます。
ジェリーの意見では、このような状況を回避するために、これらの取引ボットは秘密鍵をローカルに保存できる必要があります。 もちろん、Unibotのような取引ボットによって秘密鍵が保管されている方法を理解することも可能です。 この方法は会話型の対話に使用できるため、MetaMaskウォレットのようにトランザクションごとに署名承認を必要としない、取引時のユーザーエクスペリエンスがスムーズになります。
改善方法
上記の問題に直面して、解決策は難しくありませんが、既存のボットの場合、コストが高くなります。
たとえば、ユーザーの秘密鍵のセキュリティの方向では、実装する必要があるのは秘密鍵のローカライズされたストレージですが、既存のボット プロジェクトがこれを行う場合は、すべてのユーザーを移行する必要があります。 ゴールデンファイナンシャルレポーターによると、現在、この方向では、関連する起業家精神を行っているチームがすでにいくつかあり、最近のUnibotへの攻撃により、関連するベンチャーキャピタル機関もBOTのセキュリティ起業家精神プロジェクトに対してより高い熱意を示しています。
そして、より広い視野で、Web2とWeb3の架け橋となるこのプロダクトは、ユーザーの資金や個人データのセキュリティをどのように確保すべきなのでしょうか? または、Telegram自体は何をすべきですか?
Telegramの開発をくまなく調べてみると、実際、過去の慣行では、TON Spaceの新しいセルフカストディウォレットの立ち上げなど、ユーザー資産のセキュリティを確保するために対応するいくつかの慣行があったことがわかります。 また、情報セキュリティの観点から、ユーザーは会話のエンドツーエンドの暗号化を選択できます。
Telegramのボットはまちまちで、ハッカーが偽のボットを使用してユーザー資産を盗むケースさえあります。 Web2とWeb3の統合が進んでいる現在の状況では、資本安全保障の観点から、特にこの橋渡しツールの観点から、Web2とWeb3の統合を確実にするためのより多くの方法が必要です。 例えば、Telegram自体が、ユーザー報告後の監督や処罰において、実際に一定の役割を果たすべきであり、ブロックチェーン業界と一体となったプロジェクトとして、可能な限り契約監査やオープンソースコードなどを行うべきです。
業界の発展に伴い、この「ブリッジ」製品のさまざまな問題をどのように解決するかは、間違いなく業界のコンセンサスを形成します。