31 Ekim'de Unibot saldırıya uğradı ve Unibot resmi olarak şöyle bir duyuru yayınladı: "Saldırının nedeni, yeni yönlendiricide belirteç onayında bir güvenlik açığı olması ve yeni yönlendiricinin hatasından kaynaklanan herhangi bir fon kaybının telafi edilecek olmasıdır; Kullanıcının anahtarı ve cüzdanı güvende. "
Saldırının 600.000 dolardan fazla hasara neden olduğu anlaşılıyor. Her ne kadar takım hepsini ödeyeceğine söz vermiş olsa da. Ancak bu saldırı, Unibot'un ve hatta Telegram Bot'un sorunlarını ortaya çıkardı.
Bu olayda, bazı profesyoneller saldırının daha çok önceden tasarlanmış bir hayalet eylemi gibi olduğuna dikkat çekti: sözleşme açık kaynaklı olmadığı için bilgisayar korsanları güvenlik açıklarını kolayca buldu ve Unibot'un piyasaya sürülmesinden bir hafta sonra, bilgisayar korsanları saldırıyı dağıttı ve bu saldırı yarım yıl boyunca kış uykusuna yattı.
Bu olaydan, Telegram Bot'un kendisinin de büyük güvenlik sorunları olduğuna, özellikle de aslında yüksek güvenlik gereksinimlerine sahip olan para ve işlemleri içerenlere sahip olduğu gerçeğine bir göz atabiliriz, ancak genellikle kodun açık kaynak olmaması ve özel anahtarın yerelleştirilmiş depolama olmaması gibi sorunlar vardır.
Unibot tarafından ortaya çıkarılan yaygın sorunlar
Unibot'a saldırı bekleniyor gibi görünüyor. Aslında sektörün içindekiler arasında bir fikir birliği var: buna çok fazla para yatırmaya cesaret etmeyin, çünkü benzer Telegram botları güvenli görünmüyor.
Şu anda, kripto endüstrisi temel olarak güvenlik açısından iki dizi geliştirme mantığı ve yolu oluşturmuştur. Birincisi, varlığa dayalı ve hükümet düzenlemelerine tabi olan merkezi bir borsadır. Halkın güveni hala büyük şirketlerin ve onu denetleyen devlet kurumlarının itibarından kaynaklanmaktadır.
Diğer yol ise Defi ve emanet edilemeyen cüzdanlar gibi merkeziyetsiz ürünlerdir. Kullanıcıların varlıklarının güvenliğini mümkün olduğunca sağlamak için denetlenmiş sözleşmeler ve kodlar kullanın. Elbette bu yolda daha önemli olan, kullanıcıların kendilerinden sorumlu olmaları ve blockchain sektörünün güvenlik bilgisine hakim olmalarıdır.
Ancak Unibot gibi bir ürün için aslında Web2 ve Web3 dünyaları arasında köprü kurmak için bir araç görevi görür ve bir Web2.5 ürünü için güvenliği nasıl sağlanır?
Önce Unibot'un hangi yönlerinin kusurlu olduğuna bakalım, her şeyden önce Unibot'un sözleşmesinin kendisinde sorunlar var. Aynı zamanda Telegram işlemlerinde bir bot girişimcisi olan Jerry, Golden Finance'e saldırının sadece bilgisayar korsanının Unibot sözleşmesini manipüle ettiğini ve sözleşmenin kendisinin kullanıcının belirteci tarafından yetkilendirildiğini, bu nedenle bilgisayar korsanının kullanıcının jetonunu kendi hesabına aktarmak için sözleşmeyi manipüle ettiğini söyledi.
Jerry'nin analizine göre, önceki güvenlik denetimlerinde bu güvenlik açığından kaçınılmalıydı. Proje sıkı bir şekilde denetlenmemeliydi ve kamuya açık bilgilerde bir sözleşme denetimi haberi yok. Ve açık kaynak değil.
Jerry'nin görüşüne göre, şimdiye kadar ortaya çıkan sorunlara ek olarak, Unibot ürününün kendisinde de kullanıcıların özel anahtarlarının güvenliği gibi birçok sorun var. Bir kullanıcı Unibot kullandığında, özel anahtarı doğrudan Telegram'ın iletişim kutusuna gönderilir. Biraz sağduyuya sahip sektör uzmanları, özel anahtarların asla herkese açık hale getirilmemesi gerektiğini anlar.
Kullanıcı, iletişim kutusuna gönderme davranışı gerçekleştikten sonra Unibot'un kullanıcının özel anahtarını gerçekten kavrayabildiğini anlar. Proje ekibi istekliyse, proje ekibi kötülük yapabilir.
Jerry'nin görüşüne göre, böyle bir durumdan kaçınmak için, bu ticaret botları özel anahtarları yerel olarak saklayabilmelidir. Elbette, özel anahtarların Unibot gibi ticaret botları tarafından nasıl gözaltında tutulduğunu anlamak da mümkündür. Bu yöntem konuşma etkileşimi için kullanılabildiğinden, işlem yaparken kullanıcı deneyimi sorunsuz olacaktır ve bu da MetaMask cüzdanı gibi her işlem için imza yetkilendirmesi gerektirmez.
Nasıl Geliştirilir
Yukarıdaki sorunlar karşısında çözüm zor değil ancak mevcut botlar için maliyeti yüksek.
Örneğin, kullanıcı özel anahtar güvenliği yönünde, uygulanması gereken şey, özel anahtarların yerelleştirilmiş depolanmasıdır, ancak mevcut bot projesi bunu yapmak istiyorsa, tüm kullanıcıların taşınması gerekir. Altın finans muhabirine göre, şu anda, bu yönde, ilgili girişimciliği yapan bazı ekipler zaten var ve Unibot'a yapılan son saldırı nedeniyle, ilgili risk sermayesi kurumları da'in güvenlik girişimciliği projelerine daha fazla ilgi gösterdi.
Ve daha geniş bir bakış açısına sahibiz, Web2 ve Web3 arasında bir köprü kuran bu ürün, kullanıcıların fonlarının ve kişisel verilerinin güvenliğini nasıl sağlamalı? Veya Telegram'ın kendisi ne yapmalı?
Telegram'ın gelişimini tarayarak, aslında, geçmiş uygulamasında, TON Space'in yeni kendi kendine saklama cüzdanının piyasaya sürülmesi gibi, kullanıcı varlıklarının güvenliğini sağlamaya yönelik bazı ilgili uygulamalar olduğunu görebiliriz. Ve bilgi güvenliği açısından, kullanıcılar konuşmanın uçtan uca şifrelemesini seçebilirler.
Telegram'daki botlar karışıktır ve bilgisayar korsanlarının kullanıcı varlıklarını çalmak için sahte botlar kullandığı durumlar bile vardır. Web2 ve Web3'ün artan entegrasyonunun mevcut durumunda, sermaye güvenliği açısından, özellikle köprüler kurmak için bu araç, Web2 ve Web3'ün entegrasyonunu sağlamak için daha fazla yola ihtiyacımız var. Örneğin, Telegram'ın kendisi, kullanıcı raporlamasından sonra denetim ve cezalandırmada belirli bir rol oynamalı ve blok zinciri endüstrisi ile birleştirilmiş bir proje olarak, mümkün olduğunca sözleşme denetimleri, açık kaynak kodu vb. yapmalıdır.
Endüstrinin gelişmesiyle birlikte, bu "köprü" ürününün çeşitli sorunlarının nasıl çözüleceği, kesinlikle endüstrinin fikir birliğini geliştirecektir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Unibot saldırısı bot ürünlerinin hangi güvenlik sorunlarını ortaya çıkarır?
Altın finans gazetecisi Jessy
31 Ekim'de Unibot saldırıya uğradı ve Unibot resmi olarak şöyle bir duyuru yayınladı: "Saldırının nedeni, yeni yönlendiricide belirteç onayında bir güvenlik açığı olması ve yeni yönlendiricinin hatasından kaynaklanan herhangi bir fon kaybının telafi edilecek olmasıdır; Kullanıcının anahtarı ve cüzdanı güvende. "
Saldırının 600.000 dolardan fazla hasara neden olduğu anlaşılıyor. Her ne kadar takım hepsini ödeyeceğine söz vermiş olsa da. Ancak bu saldırı, Unibot'un ve hatta Telegram Bot'un sorunlarını ortaya çıkardı.
Bu olayda, bazı profesyoneller saldırının daha çok önceden tasarlanmış bir hayalet eylemi gibi olduğuna dikkat çekti: sözleşme açık kaynaklı olmadığı için bilgisayar korsanları güvenlik açıklarını kolayca buldu ve Unibot'un piyasaya sürülmesinden bir hafta sonra, bilgisayar korsanları saldırıyı dağıttı ve bu saldırı yarım yıl boyunca kış uykusuna yattı.
Bu olaydan, Telegram Bot'un kendisinin de büyük güvenlik sorunları olduğuna, özellikle de aslında yüksek güvenlik gereksinimlerine sahip olan para ve işlemleri içerenlere sahip olduğu gerçeğine bir göz atabiliriz, ancak genellikle kodun açık kaynak olmaması ve özel anahtarın yerelleştirilmiş depolama olmaması gibi sorunlar vardır.
Unibot tarafından ortaya çıkarılan yaygın sorunlar
Unibot'a saldırı bekleniyor gibi görünüyor. Aslında sektörün içindekiler arasında bir fikir birliği var: buna çok fazla para yatırmaya cesaret etmeyin, çünkü benzer Telegram botları güvenli görünmüyor.
Şu anda, kripto endüstrisi temel olarak güvenlik açısından iki dizi geliştirme mantığı ve yolu oluşturmuştur. Birincisi, varlığa dayalı ve hükümet düzenlemelerine tabi olan merkezi bir borsadır. Halkın güveni hala büyük şirketlerin ve onu denetleyen devlet kurumlarının itibarından kaynaklanmaktadır.
Diğer yol ise Defi ve emanet edilemeyen cüzdanlar gibi merkeziyetsiz ürünlerdir. Kullanıcıların varlıklarının güvenliğini mümkün olduğunca sağlamak için denetlenmiş sözleşmeler ve kodlar kullanın. Elbette bu yolda daha önemli olan, kullanıcıların kendilerinden sorumlu olmaları ve blockchain sektörünün güvenlik bilgisine hakim olmalarıdır.
Ancak Unibot gibi bir ürün için aslında Web2 ve Web3 dünyaları arasında köprü kurmak için bir araç görevi görür ve bir Web2.5 ürünü için güvenliği nasıl sağlanır?
Önce Unibot'un hangi yönlerinin kusurlu olduğuna bakalım, her şeyden önce Unibot'un sözleşmesinin kendisinde sorunlar var. Aynı zamanda Telegram işlemlerinde bir bot girişimcisi olan Jerry, Golden Finance'e saldırının sadece bilgisayar korsanının Unibot sözleşmesini manipüle ettiğini ve sözleşmenin kendisinin kullanıcının belirteci tarafından yetkilendirildiğini, bu nedenle bilgisayar korsanının kullanıcının jetonunu kendi hesabına aktarmak için sözleşmeyi manipüle ettiğini söyledi.
Jerry'nin analizine göre, önceki güvenlik denetimlerinde bu güvenlik açığından kaçınılmalıydı. Proje sıkı bir şekilde denetlenmemeliydi ve kamuya açık bilgilerde bir sözleşme denetimi haberi yok. Ve açık kaynak değil.
Jerry'nin görüşüne göre, şimdiye kadar ortaya çıkan sorunlara ek olarak, Unibot ürününün kendisinde de kullanıcıların özel anahtarlarının güvenliği gibi birçok sorun var. Bir kullanıcı Unibot kullandığında, özel anahtarı doğrudan Telegram'ın iletişim kutusuna gönderilir. Biraz sağduyuya sahip sektör uzmanları, özel anahtarların asla herkese açık hale getirilmemesi gerektiğini anlar.
Kullanıcı, iletişim kutusuna gönderme davranışı gerçekleştikten sonra Unibot'un kullanıcının özel anahtarını gerçekten kavrayabildiğini anlar. Proje ekibi istekliyse, proje ekibi kötülük yapabilir.
Jerry'nin görüşüne göre, böyle bir durumdan kaçınmak için, bu ticaret botları özel anahtarları yerel olarak saklayabilmelidir. Elbette, özel anahtarların Unibot gibi ticaret botları tarafından nasıl gözaltında tutulduğunu anlamak da mümkündür. Bu yöntem konuşma etkileşimi için kullanılabildiğinden, işlem yaparken kullanıcı deneyimi sorunsuz olacaktır ve bu da MetaMask cüzdanı gibi her işlem için imza yetkilendirmesi gerektirmez.
Nasıl Geliştirilir
Yukarıdaki sorunlar karşısında çözüm zor değil ancak mevcut botlar için maliyeti yüksek.
Örneğin, kullanıcı özel anahtar güvenliği yönünde, uygulanması gereken şey, özel anahtarların yerelleştirilmiş depolanmasıdır, ancak mevcut bot projesi bunu yapmak istiyorsa, tüm kullanıcıların taşınması gerekir. Altın finans muhabirine göre, şu anda, bu yönde, ilgili girişimciliği yapan bazı ekipler zaten var ve Unibot'a yapılan son saldırı nedeniyle, ilgili risk sermayesi kurumları da'in güvenlik girişimciliği projelerine daha fazla ilgi gösterdi.
Ve daha geniş bir bakış açısına sahibiz, Web2 ve Web3 arasında bir köprü kuran bu ürün, kullanıcıların fonlarının ve kişisel verilerinin güvenliğini nasıl sağlamalı? Veya Telegram'ın kendisi ne yapmalı?
Telegram'ın gelişimini tarayarak, aslında, geçmiş uygulamasında, TON Space'in yeni kendi kendine saklama cüzdanının piyasaya sürülmesi gibi, kullanıcı varlıklarının güvenliğini sağlamaya yönelik bazı ilgili uygulamalar olduğunu görebiliriz. Ve bilgi güvenliği açısından, kullanıcılar konuşmanın uçtan uca şifrelemesini seçebilirler.
Telegram'daki botlar karışıktır ve bilgisayar korsanlarının kullanıcı varlıklarını çalmak için sahte botlar kullandığı durumlar bile vardır. Web2 ve Web3'ün artan entegrasyonunun mevcut durumunda, sermaye güvenliği açısından, özellikle köprüler kurmak için bu araç, Web2 ve Web3'ün entegrasyonunu sağlamak için daha fazla yola ihtiyacımız var. Örneğin, Telegram'ın kendisi, kullanıcı raporlamasından sonra denetim ve cezalandırmada belirli bir rol oynamalı ve blok zinciri endüstrisi ile birleştirilmiş bir proje olarak, mümkün olduğunca sözleşme denetimleri, açık kaynak kodu vb. yapmalıdır.
Endüstrinin gelişmesiyle birlikte, bu "köprü" ürününün çeşitli sorunlarının nasıl çözüleceği, kesinlikle endüstrinin fikir birliğini geliştirecektir.