原创 | Odaily星球日报
作者 | 秦晓峰
今天下午,多位社区成员反应,Telegram Bot 项目
Unibot
遭遇攻击。根据 Scopescan 监测,攻击者从 Unibot 用户处转移代币,并正在将其兑换成 ETH,目前损失已超过 100 万美元。
消息一出,代币UNIBOT 从 55 USDT 最低跌至 33 USDT,最大跌幅 40% ,目前暂报 39.5 USDT。
安全机构
BlockSecTeam 分析认为,由于代码未开源,怀疑是
0x126c
合约中的函数
0xb2bd16ab
缺乏输入验证,从而允许任意调用。因此,攻击者可以调用“transferFrom”来转出合约中批准的代币。BlockSecTeam 提醒用户,
尽快撤销合约批准,
并将资金转移到新钱包。
Beosin 安全团队分析认为,Unibot 被攻击的根本原因在于 CAll 注入,攻击者可以将自定义的恶意调用数据传递到
0xb2bd16ab
合约中,从而转移获得 Unibot 合约批准的代币。Beosin Trace 正在对被盗资金进行追踪,同时 Beosin 提醒用户可在 Revoke 上取消钱包授权,链接:https://revoke.cash/。
攻击相关地址如下:
https://eagleeye.space/address/0x413e4Fb75c300B92fEc12D7c44e4c0b4FAAB4d04本次 Unibot 一个蹊跷点在于,黑客地址从今年 5 月 Unibot 合约部署后就进行蹲守。根据 Scopescan 监测,黑客在 Unibot 启动一周后,从 FixedFloat(混币器)收到 1 枚 ETH 做为此次攻击的 Gas,此后半年再没有相关动作,直到今日进行攻击。
不少加密社区用户猜测,这次攻击可能是 Unibot 内部人士作恶,因为事故发生时间非常巧合,正好是 Unibot 更换新合约后的窗口期(两天前才升级的新合约),黑客轻易地找到了合约漏洞。
链上信息显示,黑客钱包地址今日共计收入资产总价值 128 万美元(即用户损失),目前剩余 63 万美元,剩余资产占比最多的是 ETH,约为 57.3 万美元,其他被盗资产涉及币种情况如下
另外根据 Lookonchain 监测,本次攻击事件中一名用户先后两次资产被盗。该用户账户最初收到
20, 789 个的 USDC,花了 1000 美元购买了 SMilk,剩余
价值 19, 789 美元的 USDC 被攻击者偷走了,但该用户还没有注意到。今天下午,该用户以
2, 194 美元的价格卖出 SMilk,赚了 1, 194 美元(收益率 120% );
一个小时后,最后剩下的 2194 美元的 USDC 又被偷了。
路由器(router)出现代币批准漏洞,目前已经暂停了路由器;由于该
漏洞造成的任何资金损失都将得到补偿,Unibot
将在调查结束后发布详细答复。
社区用户@tomkysar 表示,针对 Unibot 的攻击仍在持续,两个攻击者地址似乎仍然能够从 0x 126Router
获得批准的 addys 处获取资金,用户资金仍存在风险。Scopescan 也发文表示,出现了新的 Unibot 攻击者,部署了与此前攻击者相同的合约,正在盗取用户资金。
CoinGecko 数据,UniBOT 自成立至今,收益为 8950 枚 ETH,位列所有 BOT 产品第二;
Maestro 排名第一,累计收益 1.32 万枚 ETH;Banana Gun
排名第三,收益为 1940 枚 ETH。不过,BOT 产品也存在较大安全隐患,特别是最近 Maestro 合约也出现同样的路由器漏洞,损失约 281 ETH——该漏洞允许攻击者转移其路由器 2 合约 (
https://etherscan.io/address/0x80a64c6d7f12c47b7c66c5b4e20e72bc1fcd5d9e…) 上已获得批准的任何代币。最终,Maestro 选择赔付用户部分损失。