黑客突然下手 由Unibot被黑看Telegram机器人的安全风险

10月31日，据 Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示，此前大火的 Unibot 突然被黑客攻击，并在市场引起热议。

黑客不留情面，在攻击事件爆出之后，依然在进行攻击流程并转移盗取的资产，而此次攻击也导致相关代币一度跌至约 33.02 USDT，24 小时跌幅超 35%。

Unibot 是什么？其实在我们此前的文章里，曾有过介绍：UNIBOT爆火，如何防范Telegram 机器人相关的钓鱼和诈骗？

简单而言， Unibot 是 Telegram 交易机器人，用户可以与机器人交互来监控流动性池子，交易代币和复制他人的交易。

在8月份的时候， $UNIBOT 的市值从 3000 万美元飙升超过1亿美元曾引起市场关注， 类似的交易机器人开始得到市场的关注，但安全问题依然没有得到重视。

比如今天这起安全事件， Beosin 安全团队分析发现 Unibot 被攻击的根本原因在于CAll注入，导致64万美元的损失。

同时 Beosin 提醒用户可在 Revoke上取消授权，避免更多资金损失。链接：https://revoke.cash/

Beosin Trace 对被盗资金进行追踪发现，目前黑客已将被盗资金转入混币器平台 Tornado Cash 进行洗钱。

由 Unibot 被黑看 Telegram 机器人的安全风险

1.中心化

Telegram 机器人的风险与中心化交易所的风险相同。如果用户想要使用 Telegram 机器人， 他们需要将私钥导入这些机器人。在此过程中，其它软件有可能通过粘贴板读取用户的私钥。此外，用户一旦在电报机器人中导入私钥，其加密资产就不再由自己控制。

2.安全风险

大多数 Telegram 机器人不是开源的，也没有第三方的代码审计。 机器人中的潜在漏洞可能会导致资产损失。如果用户的 Telegram 账户受到攻击（针对 Telegram 账户的钓鱼攻击时有发生），那么电报机器人上的资产也会受到黑客的控制。

在 Telegram 机器人热潮期间，有关 Telegram 机器人的钓鱼和诈骗在不断出现。这些机器人声称是自动交易或反抢先交易，诱导用户导入私钥，然后在未经用户许可的情况下转移用户的资金。

合约审计为何这么重要？用户如何做到安全防范？

可以看到智能合约审计在Web3生态系统中具有重要性。比如此前 Beosin 分析过的Banana Gun事件， 也是智能合约出现问题。

智能合约中的漏洞和安全问题可能导致资金损失、数据泄露或合约被操纵。 审计有助于发现和修复这些潜在的漏洞和弱点，确保合约的安全性和可靠性。对合约进行全面审查，可以提前预防潜在的攻击，并确保用户的资金和数据安全。

同时，用户在选择项目时也需要注意：

1.  对项目进行充分调研。用户应当通过项目官网，文档，社区频道，代码审计报告等方面对项目的运行逻辑和潜在风险有足够的了解，避免落入骗局。

2.  及时关注项目的最新进展。用户应通过项目的官方推特，电报群，Discord 群组等方式及时地了解项目的发展状况，以便在最短时间对 Rug Pull，合约漏洞或是黑客攻击做出反应。

3. 在 EagleEye 平台，用户可以平台上输入某一代币的合约地址，EagleEye 会对其合约代码进行检测，并给出相应的风险提醒。