Unibot遭遇黑客入侵：Telegram用户该如何保障资产安全？

著名的Telegram交易工具Unibot成为了不断扩大的一系列加密货币被攻击事件中的最新受害者。

Unibot承认在10月31日遭受了攻击，原因是在新路由器中出现了代币批准的漏洞。Unibot官方发布公告称：“在新路由器中出现了代币批准的漏洞，Unibot已暂停了新路由器以解决这个问题。由于新路由器的错误而造成的任何资金损失都将得到补偿；用户的密钥和钱包是安全的，将在调查结束后发布详细回应。”据悉该漏洞造成了超过 630,000 美元的损失。本篇，veDAO研究院将带来该事件的具体消息，以及如何保护自己在Telegram上的资产安全的建议。

Unibot被攻击的始末

10月31日，区块链分析公司 Scopescan 通知 Unibot 的用户，称该平台正在遭受一次正在进行但未被发现的攻击事件，Unibot 的一个最新部署的合约上的漏洞导致了多个用户的加密货币余额被清空。

随后，Unibot发布了文章开头提到的公告，透露了被黑客攻击的第一批细节，并确认了是由于新路由器中出现了代币批准的漏洞导致遭受攻击。

Scopescan敦促用户取消对被利用合约（0x126c9FbaB3A2FCA24eDfd17322E71a5e36E91865）的批准，并将资金转移到新钱包，以配合 Unibot 和区块链调查人员的持续调查。

Unibot承诺将赔偿所有因合同漏洞造成财务损失的用户。此次攻击从北京时间31日12:39:23开始，持续到了31日的14:09:47。在此期间，攻击者执行了22次攻击交易，总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中，漏洞利用者随后出售了这些代币，获得总计355.5 ETH。目前所有355.5ETH已被转入Tornado.Cash。根据每周交易统计数据，其中包括Joe（JOE）、UNIBOT和BeerusCat（BCAT）等加密货币。

UNIBOT 跌幅近40%

虽然 Unibot 官方已承诺赔偿损失，但受到黑客消息影响，UNIBOT 仍出现暴跌的情况。根据CoinMarketCap数据显示，UNIBOT事发后从58.34美元暴跌至最低35.94美元，最大跌幅高达38%，后续稍有回升，在42美元徘徊。值得注意的是，尽管恐慌性抛售量强劲，但巨鲸和聪明钱还是借机大量抄底吸纳了更多UNIBOT。

后续

11月1日，Unibot在Telegram发布公告称，昨日的漏洞已得到完全解决，已恢复到旧路由器；Unibot目前已经安全且能正常运行。然而受损用户的资产退还需要一些时间：Unibot目前正进行最后几轮的模拟，意图通过额外的措施，来确保彻底退还用户的代币。该公告称，由于受到漏洞影响的代币种类超过100种，因此退款过程比预期的要长。由于这些代币在规模和流动性方面各不相同，所以退款最终将以不同代币+ETH的混合形式进行。

什么是Unibot？

Unibot是一个内置在Telegram的交易工具机器人，用户在Telegram内与机器人以对话的形式发布交易指令就可完成链上代币在Uniswap上的交易活动，如代币兑换、跟单交易、限价订单、隐私交易等。Unibot在Telegram上因其易用的界面而备受欢迎。简而言之，Unibot允许用户无需离开聊天App的情况下在切换不同代币。然而，用户也可以利用MEV保护交易并复制其他交易者的交易方案。该App的原生代币在 8 月中旬曾飙升至惊人的 236 美元，其受欢迎的程度可见一斑。

Telegram机器人

除了Unibot，还有很多Telegram机器人，像Mizar、Banana Gun、Maestro和Wagie Bot等都拥有很多用户。Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪，并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年，但近年来它们随着Telegram机器人代币的出现而备受关注。

Telegram机器人代币是集成到Telegram机器人中的原生代币，主要用于多样化的交易功能，如执行DEX交易、跨钱包管理投资组合、流动性挖矿以及其他与DeFi相关的操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。

今年7月末开始，这些代币的受欢迎程度急剧上升，一些代币的涨幅甚至超过了1000%。尤其是Unibot崭露头角之后，又涌现出了大量Telegram机器人代币。目前，CoinMarketCap上收录了73个Telegram机器人代币。

Unibot – 加密安全隐患的新问题

Unibot这次的漏洞，意味着其智能合约存在权限缺陷，可能导致用户的代币被移动到指定限制之外或进行未经授权的访问，从而引起了人们的担忧。

在将被盗走的资产转移到Tornado.Cash之前，攻击者首先将它们转移到了去中心化交易所Uniswap。在加密世界中，Tornado.Cash经常成为引人注目的黑客攻击和漏洞利用的中心。该协议开发团队的几位成员在今年8月被指控协助黑客洗钱，涉及的金额超过了10亿美元，其中包括来自朝鲜的企业。与逮捕和随后的处罚之前相比，使用该隐私协议的人数减少了90%。

在Unibot遭受袭击之前的一周，一些LastPass用户报告称，他们在加密货币中损失了440万美元。安全专家指出，这可能是由于去年12月的一个LastPass漏洞，尽管在过去的十个月里频繁的漏洞让许多人感到困惑，因为它们似乎没有规律可循。

加密货币领域的另一个主要弱点是能够让用户在不兼容的网络之间转移资产的区块链间的跨链桥。依赖于Optimism的借贷平台Exactly在今年8月被盗，损失达 700 万美元。像Axie Infinity的Ronin跨链桥在2022年3月被黑客利用，造成了约6.22亿美元的损失；此外还有Wormhole加密货币平台的漏洞事件，黑客从中窃取了惊人的3.2亿美元。

这些事件不断地提醒人们，在加密货币持续向主流市场发展的过程中，这些安全问题是无法回避的困难。

如何在Telegram上保护资产安全

Telegram已经成为加密货币社区中最常用的消息传递程序之一。每个重要的区块链项目和加密货币社区都有一个Telegram帐户，他们在那里创建频道和群组，以鼓励互动和社区建设。Telegram的广泛使用使它成为了加密货币爱好者了解更多信息、讨论他们喜爱的项目的宝贵工具，但它也引来了黑客的关注。

我们来梳理下在Telegram上有哪些常见的加密货币诈骗方式，以及如何保护资产安全：

钓鱼和消息诈骗

在Telegram上，钓鱼采取“Smishing”（短信钓鱼）的形式。其目的是提取敏感数据，通常是针对高知名度人士的“鲸鱼”或“鱼叉式钓鱼”攻击。

在 Telegram 上的钓鱼诈骗，通常是通过发信息来进行钓鱼。有广撒网式的、向尽可能多的人发送恶意欺骗信息。更多的是目标为提取敏感数据的“鱼叉式网络钓鱼（spear phishing）”和“鲸钓攻击（whaling）”，用于针对组织和知名人士。

平台外诈骗

这些诈骗会引诱用户离开平台并点击链接，从而可能诱骗用户共享个人信息或下载恶意软件。

模仿诈骗

诈骗者创建假的Telegram频道或群组，模仿真实的频道，使用户相信他们是真正社区的一部分。你可以通过在设置中启用仅限管理员发布并限制谁可以将你添加到频道，来验证频道的真实性。

冒充加密专家

Telegram 上的诈骗者冒充加密专家，并承诺能提高你的收益。他们通常在收集用户的登录信息后就立马消失。

拉高出货计划

这些诈骗活动宣传可能对价格产生影响的事件，敦促用户进行投资或出售。在私人消息中接收陌生投资建议时务必要小心。

Telegram机器人

尽管Telegram机器人可能很有用，但一些黑客创建了假的机器人。避免那些急于让您采取行动的机器人，检查它们的电话号码、发布的内容，永远不要分享敏感信息。

技术支持诈骗

诈骗者会在Telegram频道中冒充支持人员。切勿与所谓的支持人员分享机密信息，无论他们是机器人还是真人。

虚假赠品

要警惕那些要求你提供银行详细信息，或是要求你支付费用以领取奖品的赠品，因为这些很可能是诈骗。

由于Telegram上几乎囊括了绝大多数的加密货币项目，各种社群多如牛毛，因此骗子将其视为一个吸引人的平台。因此，避免泄露个人信息、汇款或点击可疑链接至关重要。