基于Telegram的加密货币交易机器人Unibot遭到黑客攻击,导致用户资金大量流失。该平台帮助用户将钱包连接到去中心化交易所Uniswap,并允许他们使用基于Telegram的工具交易代币。然而,一名漏洞利用者似乎利用了该平台的漏洞,从 unibot 用户处转移 meme coin 并将其兑换成 ETH。
攻击详情
目前的漏洞利用规模估计约为 56 万美元。Scopescan (@0xScopescan) 揭示了漏洞利用者的地址,他还在推特上发布了关于此次攻击及其规模的消息。根据 etherscan 的数据,漏洞利用者似乎正在转移用户的加密货币,并将其交易为 ETH。Scopescan 进一步透露,在 Unibot 推出一周后,漏洞利用者从 FixedFloat 硬币混合器中收到了 1 个 ETH 作为气体费。
影响
根据 Lookonchain 账户的统计,到目前为止,漏洞利用者已经窃取了 60 多万美元。代币加密货币交易机器人 UNIBOT 的价格在被黑客攻击的报道后暴跌超过 40%。在撰写本文时,根据 Coingecko 数据,UNIBOT 的交易价格为 36.45 美元。
根本原因
Beosin Alert 报告称,黑客攻击的根本原因是 CAll 注入,攻击者可以将自定义恶意 calldata 传递到 0xb2bd16ab() 方法中,将批准的代币转移到 Unibot 合约中。该漏洞允许攻击者从平台上窃取资产,并将其转移到自己的钱包中。
Unibot 团队回应
Unibot 团队尚未发表任何声明或澄清疑似黑客攻击事件。建议平台用户尽快将资金转移到其他钱包或撤销对合约的批准。
We experienced a token approval exploit from our new router and have paused our router to contain the issue.
Any funds lost due to the bug on our new router will be compensated. Your keys and wallets are safe.
We will release a detailed response after investigations conclude.
— Unibot (@TeamUnibot) October 31, 2023
基于 Telegram 的加密货币交易机器人 Unibot 遭到黑客攻击,导致资产被盗,UNIBOT 代币价格暴跌。黑客攻击的根本原因是 CAll 注入,它允许攻击者将批准的代币转移到 Unibot 合约上。Unibot 团队没有就此次黑客攻击发表任何声明,建议用户将资金转移到其他钱包或撤销对合约的批准。
