31 октября Unibot подвергся атаке, и Unibot официально выпустил заявление, в котором говорилось: «Причина атаки заключается в том, что в новом маршрутизаторе есть уязвимость в одобрении токенов, и любая потеря средств из-за ошибки нового маршрутизатора будет компенсирована; Ключ и кошелек пользователя находятся в безопасности. "
Известно, что атака нанесла ущерб на сумму более 600 000 долларов. Хотя команда пообещала все выплатить. Однако эта атака обнажила проблемы Unibot и даже самого Telegram-бота.
В этом инциденте некоторые специалисты указали, что атака больше похожа на преднамеренный акт призрака: поскольку контракт не был с открытым исходным кодом, хакеры легко находили уязвимости, и через неделю после запуска Unibot хакеры развернули атаку, которая впала в спячку на полгода.
Из этого инцидента мы можем получить представление о том, что сам Telegram Bot также имеет большие проблемы с безопасностью, особенно те, которые связаны с деньгами и транзакциями, которые на самом деле имеют высокие требования к безопасности, но в целом есть проблемы, такие как код не с открытым исходным кодом, а закрытый ключ не является локализованным хранилищем.
Распространенные проблемы, выявленные Unibot
Атака на Unibot, похоже, ожидаема. На самом деле среди инсайдеров индустрии существует консенсус: не смейте вкладывать в него слишком много денег, потому что подобные боты Telegram не кажутся безопасными.
В настоящее время криптоиндустрия в основном сформировала два набора логик развития и путей с точки зрения безопасности. Первая — это централизованная биржа, которая обеспечена активами и подлежит государственному регулированию. Доверие общественности по-прежнему проистекает из репутации крупных компаний и государственных органов, которые его курируют.
Другой путь — децентрализованные продукты, такие как Defi и кошельки с самостоятельным хранением. Используйте контракты и коды, прошедшие аудит, чтобы максимально обеспечить безопасность активов пользователей. Конечно, что более важно на этом пути, так это то, что пользователи должны нести ответственность за себя и овладевать знаниями о безопасности блокчейн-индустрии.
Но для такого продукта, как Unibot, он фактически выступает в качестве инструмента для соединения миров Web2 и Web3, а для продукта Web2.5 как обеспечить его безопасность?
Давайте сначала рассмотрим, какие аспекты самого Unibot имеют недостатки, в первую очередь есть проблемы с самим контрактом Unibot. Джерри, который также является ботом-предпринимателем в транзакциях Telegram, рассказал Golden Finance, что атака заключалась в том, что хакер просто манипулировал контрактом Unibot, а сам контракт был авторизован токеном пользователя, поэтому хакер манипулировал контрактом, чтобы перевести токен пользователя на свой собственный аккаунт.
Согласно анализу Джерри, этой уязвимости следовало избегать в предыдущих аудитах безопасности. Проект не должен был проходить строгий аудит, и нет никаких новостей об аудите контракта по публичной информации. И это не открытый исходный код.
По мнению Джерри, в дополнение к проблемам, которые были выявлены до сих пор, сам продукт Unibot также имеет много проблем, таких как безопасность закрытых ключей пользователей. Когда пользователь использует Unibot, его приватный ключ отправляется прямо в диалоговое окно Telegram. Инсайдеры отрасли, обладающие небольшим здравым смыслом, понимают, что закрытые ключи никогда не должны быть обнародованы.
Пользователь понимает, что после того, как произойдет поведение отправки в диалоговое окно, Юнибот действительно может получить закрытый ключ пользователя. Если проектная команда захочет, она может творить зло.
По мнению Jerry's, чтобы избежать такой ситуации, эти торговые боты должны иметь возможность хранить приватные ключи локально. Конечно, также можно понять, каким образом закрытые ключи хранятся торговыми ботами, такими как Unibot. Поскольку этот метод можно использовать для диалогового взаимодействия, пользовательский опыт будет плавным при совершении транзакций, что не требует авторизации подписи для каждой транзакции, как кошелек MetaMask.
Как улучшить
Перед лицом вышеперечисленных проблем решение не сложное, но для существующих ботов стоимость высокая.
Например, в направлении безопасности приватных ключей пользователей, что должно быть реализовано, так это локализованное хранение приватных ключей, но если существующий проект бота хочет это сделать, то всех пользователей нужно перенести. По словам золотого финансового репортера, в настоящее время в этом направлении уже есть несколько команд, занимающихся смежным предпринимательством, и из-за недавней атаки на Unibot соответствующие венчурные институты также проявили больший энтузиазм к проектам BOT в области предпринимательства в области безопасности.
И мы смотрим шире, как этот продукт, который строит мост между Web2 и Web3, должен обеспечивать безопасность средств и личных данных пользователей? Или что делать самому Telegram?
Просматривая развитие Telegram, мы видим, что на самом деле в его прошлой практике были некоторые соответствующие практики в обеспечении безопасности активов пользователей, такие как запуск нового кошелька TON Space с самостоятельным хранением. А с точки зрения информационной безопасности пользователи могут выбрать сквозное шифрование разговора.
Боты в Telegram неоднозначны, и есть даже случаи, когда хакеры используют поддельных ботов для кражи активов пользователей. В текущей ситуации растущей интеграции Web2 и Web3, с точки зрения безопасности капитала, особенно этого инструмента для наведения мостов, нам нужно больше способов обеспечения интеграции Web2 и Web3. Например, сам Telegram должен играть определенную роль в надзоре и наказании после жалобы пользователей, и как проект, объединенный с блокчейн-индустрией, он должен как можно больше заниматься аудитом контрактов, открытым исходным кодом и так далее.
По мере развития отрасли, как решать различные проблемы этого «мостового» продукта, обязательно будет развиваться консенсус отрасли.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Какие проблемы безопасности бот-продуктов подвержена атаке Unibot?
Золотой финансовый журналист Джесси
31 октября Unibot подвергся атаке, и Unibot официально выпустил заявление, в котором говорилось: «Причина атаки заключается в том, что в новом маршрутизаторе есть уязвимость в одобрении токенов, и любая потеря средств из-за ошибки нового маршрутизатора будет компенсирована; Ключ и кошелек пользователя находятся в безопасности. "
Известно, что атака нанесла ущерб на сумму более 600 000 долларов. Хотя команда пообещала все выплатить. Однако эта атака обнажила проблемы Unibot и даже самого Telegram-бота.
В этом инциденте некоторые специалисты указали, что атака больше похожа на преднамеренный акт призрака: поскольку контракт не был с открытым исходным кодом, хакеры легко находили уязвимости, и через неделю после запуска Unibot хакеры развернули атаку, которая впала в спячку на полгода.
Из этого инцидента мы можем получить представление о том, что сам Telegram Bot также имеет большие проблемы с безопасностью, особенно те, которые связаны с деньгами и транзакциями, которые на самом деле имеют высокие требования к безопасности, но в целом есть проблемы, такие как код не с открытым исходным кодом, а закрытый ключ не является локализованным хранилищем.
Распространенные проблемы, выявленные Unibot
Атака на Unibot, похоже, ожидаема. На самом деле среди инсайдеров индустрии существует консенсус: не смейте вкладывать в него слишком много денег, потому что подобные боты Telegram не кажутся безопасными.
В настоящее время криптоиндустрия в основном сформировала два набора логик развития и путей с точки зрения безопасности. Первая — это централизованная биржа, которая обеспечена активами и подлежит государственному регулированию. Доверие общественности по-прежнему проистекает из репутации крупных компаний и государственных органов, которые его курируют.
Другой путь — децентрализованные продукты, такие как Defi и кошельки с самостоятельным хранением. Используйте контракты и коды, прошедшие аудит, чтобы максимально обеспечить безопасность активов пользователей. Конечно, что более важно на этом пути, так это то, что пользователи должны нести ответственность за себя и овладевать знаниями о безопасности блокчейн-индустрии.
Но для такого продукта, как Unibot, он фактически выступает в качестве инструмента для соединения миров Web2 и Web3, а для продукта Web2.5 как обеспечить его безопасность?
Давайте сначала рассмотрим, какие аспекты самого Unibot имеют недостатки, в первую очередь есть проблемы с самим контрактом Unibot. Джерри, который также является ботом-предпринимателем в транзакциях Telegram, рассказал Golden Finance, что атака заключалась в том, что хакер просто манипулировал контрактом Unibot, а сам контракт был авторизован токеном пользователя, поэтому хакер манипулировал контрактом, чтобы перевести токен пользователя на свой собственный аккаунт.
Согласно анализу Джерри, этой уязвимости следовало избегать в предыдущих аудитах безопасности. Проект не должен был проходить строгий аудит, и нет никаких новостей об аудите контракта по публичной информации. И это не открытый исходный код.
По мнению Джерри, в дополнение к проблемам, которые были выявлены до сих пор, сам продукт Unibot также имеет много проблем, таких как безопасность закрытых ключей пользователей. Когда пользователь использует Unibot, его приватный ключ отправляется прямо в диалоговое окно Telegram. Инсайдеры отрасли, обладающие небольшим здравым смыслом, понимают, что закрытые ключи никогда не должны быть обнародованы.
Пользователь понимает, что после того, как произойдет поведение отправки в диалоговое окно, Юнибот действительно может получить закрытый ключ пользователя. Если проектная команда захочет, она может творить зло.
По мнению Jerry's, чтобы избежать такой ситуации, эти торговые боты должны иметь возможность хранить приватные ключи локально. Конечно, также можно понять, каким образом закрытые ключи хранятся торговыми ботами, такими как Unibot. Поскольку этот метод можно использовать для диалогового взаимодействия, пользовательский опыт будет плавным при совершении транзакций, что не требует авторизации подписи для каждой транзакции, как кошелек MetaMask.
Как улучшить
Перед лицом вышеперечисленных проблем решение не сложное, но для существующих ботов стоимость высокая.
Например, в направлении безопасности приватных ключей пользователей, что должно быть реализовано, так это локализованное хранение приватных ключей, но если существующий проект бота хочет это сделать, то всех пользователей нужно перенести. По словам золотого финансового репортера, в настоящее время в этом направлении уже есть несколько команд, занимающихся смежным предпринимательством, и из-за недавней атаки на Unibot соответствующие венчурные институты также проявили больший энтузиазм к проектам BOT в области предпринимательства в области безопасности.
И мы смотрим шире, как этот продукт, который строит мост между Web2 и Web3, должен обеспечивать безопасность средств и личных данных пользователей? Или что делать самому Telegram?
Просматривая развитие Telegram, мы видим, что на самом деле в его прошлой практике были некоторые соответствующие практики в обеспечении безопасности активов пользователей, такие как запуск нового кошелька TON Space с самостоятельным хранением. А с точки зрения информационной безопасности пользователи могут выбрать сквозное шифрование разговора.
Боты в Telegram неоднозначны, и есть даже случаи, когда хакеры используют поддельных ботов для кражи активов пользователей. В текущей ситуации растущей интеграции Web2 и Web3, с точки зрения безопасности капитала, особенно этого инструмента для наведения мостов, нам нужно больше способов обеспечения интеграции Web2 и Web3. Например, сам Telegram должен играть определенную роль в надзоре и наказании после жалобы пользователей, и как проект, объединенный с блокчейн-индустрией, он должен как можно больше заниматься аудитом контрактов, открытым исходным кодом и так далее.
По мере развития отрасли, как решать различные проблемы этого «мостового» продукта, обязательно будет развиваться консенсус отрасли.