Vào ngày 31 tháng 10, Unibot đã bị tấn công và Unibot chính thức đưa ra thông báo cho biết: "Lý do của cuộc tấn công là có lỗ hổng trong việc phê duyệt mã thông báo trong bộ định tuyến mới và bất kỳ tổn thất nào về tiền do lỗi của bộ định tuyến mới sẽ được bồi thường; Khóa và ví của người dùng được bảo mật. "
Điều này được hiểu rằng cuộc tấn công đã gây ra thiệt hại hơn 600.000 đô la. Mặc dù nhóm đã hứa sẽ trả tất cả. Tuy nhiên, cuộc tấn công này đã phơi bày những vấn đề của Unibot và thậm chí cả chính Telegram Bot.
Trong vụ việc này, một số chuyên gia chỉ ra rằng cuộc tấn công giống như một hành động ma được tính toán trước: vì hợp đồng không có nguồn mở, tin tặc dễ dàng tìm thấy lỗ hổng và một tuần sau khi Unibot được tung ra, tin tặc đã triển khai cuộc tấn công, ngủ đông trong nửa năm.
Từ sự cố này, chúng ta có thể có cái nhìn thoáng qua về thực tế là bản thân Telegram Bot cũng có những vấn đề bảo mật lớn, đặc biệt là những vấn đề liên quan đến tiền và giao dịch, thực sự có yêu cầu bảo mật cao, nhưng nhìn chung có những vấn đề như mã không phải là mã nguồn mở và khóa riêng không được lưu trữ cục bộ.
Các vấn đề thường gặp do Unibot gặp phải
Cuộc tấn công vào Unibot dường như đã được dự đoán trước. Thực sự có một sự đồng thuận giữa những người trong ngành: không dám bỏ quá nhiều tiền vào đó, bởi vì các bot Telegram tương tự dường như không an toàn.
Hiện tại, ngành công nghiệp tiền điện tử về cơ bản đã hình thành hai bộ logic và con đường phát triển về mặt bảo mật. Đầu tiên là một sàn giao dịch tập trung, được hỗ trợ bằng tài sản và tuân theo quy định của chính phủ. Sự tin tưởng của công chúng vẫn bắt nguồn từ danh tiếng của các công ty lớn và các cơ quan chính phủ giám sát nó.
Con đường khác là các sản phẩm phi tập trung như Defi và ví tự lưu ký. Sử dụng các hợp đồng và mã đã được kiểm toán để đảm bảo an toàn cho tài sản của người dùng càng nhiều càng tốt. Tất nhiên, điều quan trọng hơn trong con đường này là người dùng nên có trách nhiệm với bản thân và nắm vững kiến thức bảo mật của ngành công nghiệp blockchain.
Nhưng đối với một sản phẩm như Unibot, nó thực sự hoạt động như một công cụ để kết nối thế giới Web2 và Web3, và đối với một sản phẩm Web2.5, làm thế nào để đảm bảo tính bảo mật của nó?
Trước tiên chúng ta hãy xem xét những khía cạnh nào của Unibot còn thiếu sót, trước hết, có vấn đề với chính hợp đồng của Unibot. Jerry, cũng là một doanh nhân bot trong các giao dịch Telegram, nói với Golden Finance rằng cuộc tấn công chỉ đơn giản là tin tặc thao túng hợp đồng Unibot và bản thân hợp đồng được ủy quyền bởi mã thông báo của người dùng, vì vậy tin tặc đã thao túng hợp đồng để chuyển mã thông báo của người dùng sang tài khoản của chính mình.
Theo phân tích của Jerry, lỗ hổng này nên tránh được trong các cuộc kiểm toán bảo mật trước đây. Dự án không nên được kiểm toán chặt chẽ và không có tin tức về kiểm toán hợp đồng trên thông tin công khai. Và nó không phải là mã nguồn mở.
Theo quan điểm của Jerry, ngoài những vấn đề đã được phơi bày cho đến nay, bản thân sản phẩm Unibot cũng có nhiều vấn đề, chẳng hạn như tính bảo mật của khóa riêng của người dùng. Khi người dùng sử dụng Unibot, khóa riêng của họ được gửi trực tiếp đến hộp thoại của Telegram. Những người trong ngành với một chút ý thức chung hiểu rằng khóa riêng tư không bao giờ nên được công khai.
Người dùng hiểu rằng sau khi hành vi gửi đến hộp thoại xảy ra, Unibot thực sự có thể nắm bắt được khóa riêng của người dùng. Nếu nhóm dự án sẵn sàng, nhóm dự án có thể làm điều ác.
Theo ý kiến của Jerry, để tránh tình trạng như vậy, các bot giao dịch này sẽ có thể lưu trữ khóa riêng tư cục bộ. Tất nhiên, cũng có thể hiểu cách thức mà các khóa riêng tư được lưu giữ bởi các bot giao dịch như Unibot. Vì phương thức này có thể được sử dụng để tương tác đàm thoại, trải nghiệm người dùng sẽ mượt mà khi giao dịch, không yêu cầu ủy quyền chữ ký cho mỗi giao dịch như ví MetaMask.
Cách cải thiện
Trước những vấn đề trên, giải pháp không khó, nhưng đối với các bot hiện có, chi phí cao.
Ví dụ: theo hướng bảo mật khóa riêng của người dùng, những gì cần được thực hiện là lưu trữ khóa riêng cục bộ, nhưng nếu dự án bot hiện tại muốn làm điều này, thì tất cả người dùng cần phải được di chuyển. Theo phóng viên tài chính vàng, hiện nay, theo hướng này, đã có một số nhóm làm kinh doanh liên quan, và vì cuộc tấn công gần đây vào Unibot, các tổ chức đầu tư mạo hiểm có liên quan cũng đã thể hiện sự nhiệt tình cao hơn đối với các dự án khởi nghiệp bảo mật của BOT.
Và chúng tôi có cái nhìn rộng hơn, sản phẩm xây dựng cầu nối giữa Web2 và Web3 này nên đảm bảo an toàn cho tiền và dữ liệu cá nhân của người dùng như thế nào? Hay chính Telegram nên làm gì?
Kết hợp thông qua sự phát triển của Telegram, chúng ta có thể thấy rằng trên thực tế, trong thực tế trước đây của nó, đã có một số thực tiễn tương ứng trong việc đảm bảo an toàn cho tài sản của người dùng, chẳng hạn như ra mắt ví tự lưu ký mới của TON Space. Và về mặt bảo mật thông tin, người dùng có thể chọn mã hóa đầu cuối của cuộc hội thoại.
Các bot trên Telegram là hỗn hợp và thậm chí có những trường hợp tin tặc sử dụng bot giả để đánh cắp tài sản của người dùng. Trong tình hình ngày càng tích hợp Web2 và Web3 ngày càng tăng, về mặt bảo mật vốn, đặc biệt là công cụ này để xây dựng cầu nối, chúng ta cần nhiều cách hơn để đảm bảo tích hợp Web2 và Web3. Ví dụ, bản thân Telegram thực sự nên đóng một vai trò nhất định trong việc giám sát và trừng phạt sau khi báo cáo người dùng, và là một dự án kết hợp với ngành công nghiệp blockchain, nó nên thực hiện kiểm toán hợp đồng càng nhiều càng tốt, mã nguồn mở, v.v.
Với sự phát triển của ngành, làm thế nào để giải quyết các vấn đề khác nhau của sản phẩm "cầu nối" này chắc chắn sẽ phát triển sự đồng thuận của ngành.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Những vấn đề bảo mật nào của các sản phẩm bot bị phơi bày bởi cuộc tấn công Unibot?
Nhà báo tài chính vàng Jessy
Vào ngày 31 tháng 10, Unibot đã bị tấn công và Unibot chính thức đưa ra thông báo cho biết: "Lý do của cuộc tấn công là có lỗ hổng trong việc phê duyệt mã thông báo trong bộ định tuyến mới và bất kỳ tổn thất nào về tiền do lỗi của bộ định tuyến mới sẽ được bồi thường; Khóa và ví của người dùng được bảo mật. "
Điều này được hiểu rằng cuộc tấn công đã gây ra thiệt hại hơn 600.000 đô la. Mặc dù nhóm đã hứa sẽ trả tất cả. Tuy nhiên, cuộc tấn công này đã phơi bày những vấn đề của Unibot và thậm chí cả chính Telegram Bot.
Trong vụ việc này, một số chuyên gia chỉ ra rằng cuộc tấn công giống như một hành động ma được tính toán trước: vì hợp đồng không có nguồn mở, tin tặc dễ dàng tìm thấy lỗ hổng và một tuần sau khi Unibot được tung ra, tin tặc đã triển khai cuộc tấn công, ngủ đông trong nửa năm.
Từ sự cố này, chúng ta có thể có cái nhìn thoáng qua về thực tế là bản thân Telegram Bot cũng có những vấn đề bảo mật lớn, đặc biệt là những vấn đề liên quan đến tiền và giao dịch, thực sự có yêu cầu bảo mật cao, nhưng nhìn chung có những vấn đề như mã không phải là mã nguồn mở và khóa riêng không được lưu trữ cục bộ.
Các vấn đề thường gặp do Unibot gặp phải
Cuộc tấn công vào Unibot dường như đã được dự đoán trước. Thực sự có một sự đồng thuận giữa những người trong ngành: không dám bỏ quá nhiều tiền vào đó, bởi vì các bot Telegram tương tự dường như không an toàn.
Hiện tại, ngành công nghiệp tiền điện tử về cơ bản đã hình thành hai bộ logic và con đường phát triển về mặt bảo mật. Đầu tiên là một sàn giao dịch tập trung, được hỗ trợ bằng tài sản và tuân theo quy định của chính phủ. Sự tin tưởng của công chúng vẫn bắt nguồn từ danh tiếng của các công ty lớn và các cơ quan chính phủ giám sát nó.
Con đường khác là các sản phẩm phi tập trung như Defi và ví tự lưu ký. Sử dụng các hợp đồng và mã đã được kiểm toán để đảm bảo an toàn cho tài sản của người dùng càng nhiều càng tốt. Tất nhiên, điều quan trọng hơn trong con đường này là người dùng nên có trách nhiệm với bản thân và nắm vững kiến thức bảo mật của ngành công nghiệp blockchain.
Nhưng đối với một sản phẩm như Unibot, nó thực sự hoạt động như một công cụ để kết nối thế giới Web2 và Web3, và đối với một sản phẩm Web2.5, làm thế nào để đảm bảo tính bảo mật của nó?
Trước tiên chúng ta hãy xem xét những khía cạnh nào của Unibot còn thiếu sót, trước hết, có vấn đề với chính hợp đồng của Unibot. Jerry, cũng là một doanh nhân bot trong các giao dịch Telegram, nói với Golden Finance rằng cuộc tấn công chỉ đơn giản là tin tặc thao túng hợp đồng Unibot và bản thân hợp đồng được ủy quyền bởi mã thông báo của người dùng, vì vậy tin tặc đã thao túng hợp đồng để chuyển mã thông báo của người dùng sang tài khoản của chính mình.
Theo phân tích của Jerry, lỗ hổng này nên tránh được trong các cuộc kiểm toán bảo mật trước đây. Dự án không nên được kiểm toán chặt chẽ và không có tin tức về kiểm toán hợp đồng trên thông tin công khai. Và nó không phải là mã nguồn mở.
Theo quan điểm của Jerry, ngoài những vấn đề đã được phơi bày cho đến nay, bản thân sản phẩm Unibot cũng có nhiều vấn đề, chẳng hạn như tính bảo mật của khóa riêng của người dùng. Khi người dùng sử dụng Unibot, khóa riêng của họ được gửi trực tiếp đến hộp thoại của Telegram. Những người trong ngành với một chút ý thức chung hiểu rằng khóa riêng tư không bao giờ nên được công khai.
Người dùng hiểu rằng sau khi hành vi gửi đến hộp thoại xảy ra, Unibot thực sự có thể nắm bắt được khóa riêng của người dùng. Nếu nhóm dự án sẵn sàng, nhóm dự án có thể làm điều ác.
Theo ý kiến của Jerry, để tránh tình trạng như vậy, các bot giao dịch này sẽ có thể lưu trữ khóa riêng tư cục bộ. Tất nhiên, cũng có thể hiểu cách thức mà các khóa riêng tư được lưu giữ bởi các bot giao dịch như Unibot. Vì phương thức này có thể được sử dụng để tương tác đàm thoại, trải nghiệm người dùng sẽ mượt mà khi giao dịch, không yêu cầu ủy quyền chữ ký cho mỗi giao dịch như ví MetaMask.
Cách cải thiện
Trước những vấn đề trên, giải pháp không khó, nhưng đối với các bot hiện có, chi phí cao.
Ví dụ: theo hướng bảo mật khóa riêng của người dùng, những gì cần được thực hiện là lưu trữ khóa riêng cục bộ, nhưng nếu dự án bot hiện tại muốn làm điều này, thì tất cả người dùng cần phải được di chuyển. Theo phóng viên tài chính vàng, hiện nay, theo hướng này, đã có một số nhóm làm kinh doanh liên quan, và vì cuộc tấn công gần đây vào Unibot, các tổ chức đầu tư mạo hiểm có liên quan cũng đã thể hiện sự nhiệt tình cao hơn đối với các dự án khởi nghiệp bảo mật của BOT.
Và chúng tôi có cái nhìn rộng hơn, sản phẩm xây dựng cầu nối giữa Web2 và Web3 này nên đảm bảo an toàn cho tiền và dữ liệu cá nhân của người dùng như thế nào? Hay chính Telegram nên làm gì?
Kết hợp thông qua sự phát triển của Telegram, chúng ta có thể thấy rằng trên thực tế, trong thực tế trước đây của nó, đã có một số thực tiễn tương ứng trong việc đảm bảo an toàn cho tài sản của người dùng, chẳng hạn như ra mắt ví tự lưu ký mới của TON Space. Và về mặt bảo mật thông tin, người dùng có thể chọn mã hóa đầu cuối của cuộc hội thoại.
Các bot trên Telegram là hỗn hợp và thậm chí có những trường hợp tin tặc sử dụng bot giả để đánh cắp tài sản của người dùng. Trong tình hình ngày càng tích hợp Web2 và Web3 ngày càng tăng, về mặt bảo mật vốn, đặc biệt là công cụ này để xây dựng cầu nối, chúng ta cần nhiều cách hơn để đảm bảo tích hợp Web2 và Web3. Ví dụ, bản thân Telegram thực sự nên đóng một vai trò nhất định trong việc giám sát và trừng phạt sau khi báo cáo người dùng, và là một dự án kết hợp với ngành công nghiệp blockchain, nó nên thực hiện kiểm toán hợp đồng càng nhiều càng tốt, mã nguồn mở, v.v.
Với sự phát triển của ngành, làm thế nào để giải quyết các vấn đề khác nhau của sản phẩm "cầu nối" này chắc chắn sẽ phát triển sự đồng thuận của ngành.