31 жовтня Unibot зазнав атаки, і Unibot офіційно опублікував оголошення, в якому говорилося: «Причина атаки полягає в тому, що в новому маршрутизаторі є вразливість у схваленні токенів, і будь-яка втрата коштів через помилку нового маршрутизатора буде компенсована; Ключ і гаманець користувача знаходяться в безпеці. "
Відомо, що атака завдала збитків на суму понад 600 000 доларів. Хоча команда пообіцяла все це виплатити. Однак ця атака оголила проблеми Unibot і навіть самого Telegram Bot.
У цьому інциденті деякі фахівці зазначили, що атака була більше схожа на навмисний акт-привид: оскільки контракт не був відкритим вихідним кодом, хакери легко знаходили вразливості, а через тиждень після запуску Unibot хакери розгорнули атаку, яка перебувала в сплячому стані протягом півроку.
З цього інциденту ми можемо отримати уявлення про те, що сам Telegram Bot також має великі проблеми з безпекою, особливо ті, що пов'язані з грошима та транзакціями, які насправді мають високі вимоги до безпеки, але, як правило, є такі проблеми, як код не є відкритим вихідним кодом, а приватний ключ не є локалізованим сховищем.
Поширені проблеми, виявлені Unibot
Атака на Unibot, схоже, очікувана. Насправді серед інсайдерів галузі існує консенсус: не смійте вкладати в це занадто багато грошей, тому що подібні боти Telegram, схоже, не є безпечними.
В даний час криптоіндустрія в основному сформувала два набори логік розвитку і шляхів розвитку з точки зору безпеки. Перший - це централізована біржа, яка забезпечена активами і підлягає державному регулюванню. Довіра громадськості, як і раніше, випливає з репутації великих компаній та державних органів, які за нею наглядають.
Інший шлях – це децентралізовані продукти, такі як Defi та гаманці з самостійним зберіганням. Використовуйте контракти та коди, які пройшли аудит, щоб максимально забезпечити безпеку активів користувачів. Звичайно, що важливіше на цьому шляху, так це те, що користувачі повинні бути відповідальними за себе і освоїти знання про безпеку блокчейн-індустрії.
Але для такого продукту, як Unibot, він фактично діє як інструмент для з'єднання світів Web2 та Web3, а для продукту Web2.5, як забезпечити його безпеку?
Давайте спочатку розберемося, які аспекти самого Unibot є недосконалими, перш за все, є проблеми з самим контрактом Unibot. Джеррі, який також є ботом-підприємцем у транзакціях Telegram, розповів Golden Finance, що атака полягала лише в тому, що хакер маніпулював контрактом Unibot, а сам контракт був авторизований токеном користувача, тому хакер маніпулював контрактом, щоб перевести токен користувача на власний обліковий запис.
Згідно з аналізом Джеррі, цієї вразливості слід було уникати під час попередніх аудитів безпеки. Проект не повинен був проходити суворий аудит, і немає жодних новин про аудит контракту щодо публічної інформації. І це не відкритий вихідний код.
На думку Джеррі, крім проблем, які були виявлені досі, сам продукт Unibot також має багато проблем, таких як безпека приватних ключів користувачів. Коли користувач використовує Unibot, його приватний ключ надсилається безпосередньо в діалогове вікно Telegram. Інсайдери галузі з невеликим здоровим глуздом розуміють, що приватні ключі ніколи не повинні бути оприлюднені.
Користувач розуміє, що після того, як відбувається поведінка відправки в діалогове вікно, Unibot може фактично захопити закритий ключ користувача. Якщо команда проекту бажає, вона може зробити зло.
На думку Джеррі, щоб уникнути такої ситуації, ці торгові боти повинні мати можливість зберігати приватні ключі локально. Звичайно, також можна зрозуміти, як зберігаються приватні ключі торговими ботами, такими як Unibot. Оскільки цей метод можна використовувати для розмовної взаємодії, взаємодія з користувачем буде плавною під час транзакції, що не вимагає авторизації підпису для кожної транзакції, як гаманець MetaMask.
Як покращити
При виникненні перерахованих вище проблем рішення не складе труднощів, але для існуючих ботів вартість висока.
Наприклад, у напрямку безпеки приватних ключів користувачів має бути реалізовано локалізоване зберігання приватних ключів, але якщо існуючий бот-проєкт хоче це зробити, то потрібно мігрувати всіх користувачів. За словами золотого фінансового репортера, наразі в цьому напрямку вже є кілька команд, які займаються суміжним підприємництвом, а через нещодавню атаку на Unibot відповідні венчурні установи також продемонстрували більший ентузіазм щодо проєктів BOT з підприємництва у сфері безпеки.
І ми дивимося ширше, як цей продукт, який будує міст між Web2 та Web3, має забезпечувати безпеку коштів та особистих даних користувачів? Або що робити самому Telegram?
Прочісуючи розвиток Telegram, ми можемо побачити, що насправді в його минулій практиці існували деякі відповідні практики в забезпеченні безпеки активів користувачів, наприклад, запуск нового гаманця TON Space для самостійного зберігання. А з точки зору інформаційної безпеки користувачі можуть вибрати наскрізне шифрування розмови.
Боти в Telegram неоднозначні, і навіть є випадки, коли хакери використовують фальшивих ботів для крадіжки активів користувачів. У нинішній ситуації зростаючої інтеграції Web2 та Web3, з точки зору безпеки капіталу, особливо цього інструменту для побудови мостів, нам потрібно більше способів забезпечити інтеграцію Web2 та Web3. Наприклад, сам Telegram повинен фактично відігравати певну роль у нагляді та покаранні після звітування користувачів, а як проєкт у поєднанні з блокчейн-індустрією він має робити аудит контрактів, наскільки це можливо, відкритий вихідний код тощо.
З розвитком галузі, як вирішувати різні проблеми цього «мосту» продукту, безумовно, досягне консенсусу галузі.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Які проблеми безпеки бот-продуктів викриває атака Unibot?
Золота фінансова журналістка Джессі
31 жовтня Unibot зазнав атаки, і Unibot офіційно опублікував оголошення, в якому говорилося: «Причина атаки полягає в тому, що в новому маршрутизаторі є вразливість у схваленні токенів, і будь-яка втрата коштів через помилку нового маршрутизатора буде компенсована; Ключ і гаманець користувача знаходяться в безпеці. "
Відомо, що атака завдала збитків на суму понад 600 000 доларів. Хоча команда пообіцяла все це виплатити. Однак ця атака оголила проблеми Unibot і навіть самого Telegram Bot.
У цьому інциденті деякі фахівці зазначили, що атака була більше схожа на навмисний акт-привид: оскільки контракт не був відкритим вихідним кодом, хакери легко знаходили вразливості, а через тиждень після запуску Unibot хакери розгорнули атаку, яка перебувала в сплячому стані протягом півроку.
З цього інциденту ми можемо отримати уявлення про те, що сам Telegram Bot також має великі проблеми з безпекою, особливо ті, що пов'язані з грошима та транзакціями, які насправді мають високі вимоги до безпеки, але, як правило, є такі проблеми, як код не є відкритим вихідним кодом, а приватний ключ не є локалізованим сховищем.
Поширені проблеми, виявлені Unibot
Атака на Unibot, схоже, очікувана. Насправді серед інсайдерів галузі існує консенсус: не смійте вкладати в це занадто багато грошей, тому що подібні боти Telegram, схоже, не є безпечними.
В даний час криптоіндустрія в основному сформувала два набори логік розвитку і шляхів розвитку з точки зору безпеки. Перший - це централізована біржа, яка забезпечена активами і підлягає державному регулюванню. Довіра громадськості, як і раніше, випливає з репутації великих компаній та державних органів, які за нею наглядають.
Інший шлях – це децентралізовані продукти, такі як Defi та гаманці з самостійним зберіганням. Використовуйте контракти та коди, які пройшли аудит, щоб максимально забезпечити безпеку активів користувачів. Звичайно, що важливіше на цьому шляху, так це те, що користувачі повинні бути відповідальними за себе і освоїти знання про безпеку блокчейн-індустрії.
Але для такого продукту, як Unibot, він фактично діє як інструмент для з'єднання світів Web2 та Web3, а для продукту Web2.5, як забезпечити його безпеку?
Давайте спочатку розберемося, які аспекти самого Unibot є недосконалими, перш за все, є проблеми з самим контрактом Unibot. Джеррі, який також є ботом-підприємцем у транзакціях Telegram, розповів Golden Finance, що атака полягала лише в тому, що хакер маніпулював контрактом Unibot, а сам контракт був авторизований токеном користувача, тому хакер маніпулював контрактом, щоб перевести токен користувача на власний обліковий запис.
Згідно з аналізом Джеррі, цієї вразливості слід було уникати під час попередніх аудитів безпеки. Проект не повинен був проходити суворий аудит, і немає жодних новин про аудит контракту щодо публічної інформації. І це не відкритий вихідний код.
На думку Джеррі, крім проблем, які були виявлені досі, сам продукт Unibot також має багато проблем, таких як безпека приватних ключів користувачів. Коли користувач використовує Unibot, його приватний ключ надсилається безпосередньо в діалогове вікно Telegram. Інсайдери галузі з невеликим здоровим глуздом розуміють, що приватні ключі ніколи не повинні бути оприлюднені.
Користувач розуміє, що після того, як відбувається поведінка відправки в діалогове вікно, Unibot може фактично захопити закритий ключ користувача. Якщо команда проекту бажає, вона може зробити зло.
На думку Джеррі, щоб уникнути такої ситуації, ці торгові боти повинні мати можливість зберігати приватні ключі локально. Звичайно, також можна зрозуміти, як зберігаються приватні ключі торговими ботами, такими як Unibot. Оскільки цей метод можна використовувати для розмовної взаємодії, взаємодія з користувачем буде плавною під час транзакції, що не вимагає авторизації підпису для кожної транзакції, як гаманець MetaMask.
Як покращити
При виникненні перерахованих вище проблем рішення не складе труднощів, але для існуючих ботів вартість висока.
Наприклад, у напрямку безпеки приватних ключів користувачів має бути реалізовано локалізоване зберігання приватних ключів, але якщо існуючий бот-проєкт хоче це зробити, то потрібно мігрувати всіх користувачів. За словами золотого фінансового репортера, наразі в цьому напрямку вже є кілька команд, які займаються суміжним підприємництвом, а через нещодавню атаку на Unibot відповідні венчурні установи також продемонстрували більший ентузіазм щодо проєктів BOT з підприємництва у сфері безпеки.
І ми дивимося ширше, як цей продукт, який будує міст між Web2 та Web3, має забезпечувати безпеку коштів та особистих даних користувачів? Або що робити самому Telegram?
Прочісуючи розвиток Telegram, ми можемо побачити, що насправді в його минулій практиці існували деякі відповідні практики в забезпеченні безпеки активів користувачів, наприклад, запуск нового гаманця TON Space для самостійного зберігання. А з точки зору інформаційної безпеки користувачі можуть вибрати наскрізне шифрування розмови.
Боти в Telegram неоднозначні, і навіть є випадки, коли хакери використовують фальшивих ботів для крадіжки активів користувачів. У нинішній ситуації зростаючої інтеграції Web2 та Web3, з точки зору безпеки капіталу, особливо цього інструменту для побудови мостів, нам потрібно більше способів забезпечити інтеграцію Web2 та Web3. Наприклад, сам Telegram повинен фактично відігравати певну роль у нагляді та покаранні після звітування користувачів, а як проєкт у поєднанні з блокчейн-індустрією він має робити аудит контрактів, наскільки це можливо, відкритий вихідний код тощо.
З розвитком галузі, як вирішувати різні проблеми цього «мосту» продукту, безумовно, досягне консенсусу галузі.