2023年10月31日12時39分23秒北京時間、Unibot は悪意のあるエクスプロイトを受け、64 万ドルの資産を失いました。攻撃者は、Unibot ルーター契約の「任意呼び出し」の脆弱性を悪用し、ルーティング契約に事前承認された 640,000 ドル相当のさまざまなトークンを自分の名前に転送しました。
まず、このインシデントの脆弱性分析と攻撃プロセスを理解しましょう。
脆弱性分析
関数 0xb2bd16ab() は、外部トークン コントラクトを任意に呼び出して transferFrom() メソッドを実行するために使用される入力パラメーター、特に varg 0 と varg 4 を適切にチェックしません。
攻撃プロセス
攻撃は北京時間31日12時39分23秒に始まり、31日14時09分47秒まで続いた。この期間に、攻撃者は 22 件の攻撃トランザクションを実行しました、攻撃コントラクトを呼び出します"0x5456a7bf()"Unibot ルーター コントラクトを繰り返し呼び出すメソッド"0xb2bd16ab()"被害者のアドレスから自分のアカウントにさまざまなトークンを転送する方法。
合計 42 個のトークンが 364 の被害者のアドレスからルーター経由で攻撃者に転送され、攻撃者はその後トークンを販売しました。合計 355.5 ETH (約 640,000 ドル) を獲得しました。
Unibot チームはその後、新しいルーター契約を展開することで対応しました。 Xの公式アカウントでは、被害者全員への補償計画も発表した。現在、355.5 ETH はすべて Tornado.Cash に転送されています。
電報ボット
この攻撃は、以前のマエストロボット事件と非常によく似ています。10 月 25 日、CertiK Alert は、Telegram ロボット プロジェクト Maestro Bots ルーター契約が攻撃され、約 50 万米ドルの損失が発生したと X プラットフォーム上で警告を発しました。
Telegram ボットは、Web3.0 の世界で新たに登場した分野であり、ユーザーが Telegram インターフェースを介してトークンを統合しながらさまざまな DeFi 操作を実行できるようにします。しかし、真のイノベーションと紛らわしい幻想を区別することはますます複雑になっています。
CertiK セキュリティ チームは、CoinGecko の Telegram ボット トークン リストにある 61 のプロジェクトについて調査を実施しました。プロジェクトの40%近くが休眠状態にあり、不正の可能性があることが判明した。、または急激な下落から回復できなくなるリスクに直面します。これらのプラットフォームの取引メカニズムは間違いなく革新的ですが、多くのプラットフォームには重要な技術的詳細、特にアプリ内ウォレットの秘密鍵管理に関する情報が不足しています。これらのプラットフォームでは細心の注意を払って操作し、プラットフォームとのやり取りを最小限に抑え、資産の長期保管を避けることをお勧めします。
Telegram ボットとそのトークンについて学ぶ
Telegram ボットは、Telegram チャット プログラムを通じて実行される自動プログラムです。トランザクションを実行し、ユーザーに市場データを提供し、ソーシャルメディア上のセンチメントを評価し、Telegram インターフェイスを通じて開始される実行コマンドを通じてスマートコントラクトと対話することができます。このタイプのボットは何年も前から存在していましたが、近年 Telegram ボット トークンの出現により注目を集めています。
Telegram Bot TokenはTelegram Botに統合されたネイティブトークンであり、主にDEXトランザクションの実行、ウォレット全体のポートフォリオの管理、イールドファーミング、およびDeFiに関連するその他の実行可能な操作などのさまざまな取引機能に使用されます。これらのトークンを使用すると、ユーザーは基本的に Telegram インターフェイスと対話するだけで DeFi 全体に接続できるようになります。これらのプログラムが長期にわたって安全で機能し続けることができれば、DeFi の全体的なアクセシビリティに大きな影響を与える可能性があります。
今年 7 月 20 日以降、これらのトークンの人気は劇的に高まり、一部のトークンは 1,000% 以上上昇しました。この傾向は、プラットフォーム X (旧 Twitter) 上の Web 3.0 通貨コミュニティの物語的共鳴によって引き起こされた、Web 3.0 コミュニティに共通する景気循環の熱狂を反映しています。
特に Unibot が台頭してからは、多数の TBT が出現しました。 2023年8月3日の時点で、CoinGeckoのロボットトークンセクションには61のそのようなシステムがリストされています。
物語の岐路を渡る
TBT (Telegram Bot Token) は、Web3.0 分野で独特の位置を占めています。 X プラットフォーム (旧 Twitter) では、Web 3.0 通貨の愛好家が Web 3.0 通貨をユーティリティ トークンとして議論することがよくあります。これまで、「実用的」という言葉は、Web3.0 通貨の分野におけるメタ物語と関連付けられており、通常は人工知能、金融テクノロジー、物流、国境を越えた取引などの専門業界の物語が含まれていました。 TBT はもともと「ユーティリティ」の物語に基づいて開発され、革新的なユーザー インターフェイスを通じて取引活動を分散化および改善することを目的としていました。しかし、TBT は実際には単一の実用的なメタナラティブを超えて、さまざまなミームおよび非ミームのナラティブに共鳴を見出します。
一方、TBT の物語が展開するにつれて、ミニゲームのミームトークンをめぐる定期的な誇大広告が出現、具体的には「$HAMS」というプロジェクトです。 $HAMS は、ユーザーがハムスター レースのライブ ストリームに賭けることを可能にする、有効期間の短いミーム トークンです。しかし、$HAMS はハムスターのビデオ映像を再利用したとして運営者をコミュニティのメンバーが非難したため、立ち上げ直後に消滅しました。これにより、TBT としても知られる他のさまざまなゲーム記念トークンが誕生しました。トークンの 1 つは「$TETRIS」と呼ばれ、ユーザーはギャンブルをしたり、プレイヤー間のテトリス競技に参加したりできます。特定のゲーム記念トークン間のつながりは、X プラットフォームでの広範な言及を通じて形成されます。
TBT 物語のクロスオーバーのもう 1 つの例には、PAAL AI が含まれます。これは専用のミームではありませんが、このプロジェクトは ChatGPT に似た Telegram チャットボットを開発しています。トークンとプロジェクトの構造も他の TBT 構造と似ています。不可解なのは、このプロジェクトが Telegram チャットボットではなく、ChatGPT のような Web インターフェイスを作成しているように見えることです。ただし、ボットは API 経由でユーザーの個人的な Telegram チャネルに統合できます。
CoinGecko の TBT 分類
Unibot の発売直後に、CoinGecko は TBT の詳細なリストを発表しました。このリストはもともと7月20日頃に公開されたもので、約30のコインが含まれています。わずか数週間で、その数は 61 件にまで膨れ上がりました。価格の勢い、流動性のダイナミクス、取引活動などの複合指標を含むさまざまな方法を使用してリストを分析し、消滅する可能性が高いかどうか、または取引がまだ活発であるかどうかに基づいてプロジェクトを分類しました。 8 月時点の具体的な分布を以下の棒グラフに示します。
これら 61 件のプロジェクトのうち、37 件を進行中、24 件を停止または停止の可能性のあるプロジェクトに分類しました。これらのプロジェクトは、85% 以上下落しているか、プールに流動性がほとんどまたはまったくなくアクティビティがないか、またはエグジット詐欺である可能性が高いです。とはいえ、このカテゴリのプロジェクトの約 40% は機能不全に陥っているか、回復する見込みがありません。
Telegram ボット アカウントの登録時に提供されるウォレットは自動的に生成され、秘密キーは後で提供されることに注意してください。 Unibot は、ローカルかサーバーの背後かにかかわらず、これらの秘密鍵がどこにどのように保管されるかを指定していません。これは、資金の取引と保管の両方にこれらの Telegram ボットを使用することは非常に危険であることを意味します。
Telegram と統合されていないプロジェクト
私たちの調査の過程で、TBTとしてリストされている一部のプロジェクトは、トークンをTelegramに統合していないか、Telegram取引ボットを持たずに通常のTelegramコミュニティチャネルのみを備えていることが判明しました。一部のプロジェクトには Unibot と同じ機能を備えた外部 DApps があり、他のプロジェクトのロードマップでは、将来的に Telegram の統合が実装されることが示されています。
他のプロジェクトにはこれらの機能はありませんが、このリストにそれらが存在することは、前述した交差する物語を示している可能性があります。これらのプロジェクトは、CoinGecko にアプリケーションを送信するときに TBT タイプのプロジェクトであると自己識別し、統合または将来の統合の目標を示す場合があります。私たちは、プロジェクトが実際に割り当てられているカテゴリーと何の関係もない場合でも、物語の誇大広告が特定のカテゴリーのトークンを増幅させる仕組みを目にしてきました。一部のトークンは「ミームのような」形で存在することさえあります。私たちの分析によると、この種の物語の誇大宣伝の影響は、上記の相違を部分的に説明するのに十分なほど大きいです。
最後に書きます
デジタル通貨コミュニティで新しい物語が広まるたびに、多数の同様のプロジェクトが同じ物語で公開され続けますが、その多くは出口詐欺か投資家の資産を盗もうとするものであり、TBTもこの点で例外ではありません。
TBTの開発は、DeFiコミュニティにとってユニークなイノベーションとなる可能性があります。このようなトークンの有用性は不明ですが、同様のプラットフォームの出現により、投資家はデータを取引戦略に集約する新しい方法が提供されます。ただし、ユーザーはこれらのプラットフォームについて細心の注意を払う必要があります。
TBT の分野では、プロジェクトはミームを通じて存在しており、その価値は一夜にして失われる可能性があるため、慎重かつ情報に基づいた参加姿勢を維持する必要があります。多くのプロジェクトでは、ウォレット キーの保存場所と生成方法について明確な文書をユーザーに提供できていないため、未知の大きなリスクが存在します。
ユーザーは、これらのプラットフォームをストレージとして使用することを検討すべきではありません。ユーザーは、外部ウォレットをこれらのプラットフォームにリンクするとき、またはこれらのプロジェクトによって生成された Web サイトと対話するときにも注意する必要があります。