金色财经记者 Jessy
10月31日,Unibot被攻击,Unibot官方发布公告称:“被攻击原因是在新路由器中出现了代币批准的漏洞,由于新路由器的错误而造成的任何资金损失都将得到补偿;用户的密钥和钱包是安全的。"
据了解,此次攻击事件共造成了超过60万美元的损失。虽然团队已经承诺会全部赔付。但是此次被攻击事件却暴露出来Unibot,乃至Telegram Bot这个种类产品本身存在的问题。
在此次事件中,有专业人士指出,此次攻击更像是一场有预谋的内鬼行为:因为该合约并未开源,黑客却轻松找到漏洞,以及在Unibot上线一周后,黑客就进行了攻击部署,为此次攻击蛰伏了半年。
而从此次事件,我们能够窥见的是,Telegram Bot本身也存在着较大的安全问题,尤其是涉及金钱、交易相关的Bot,其实是对于安全要求很高的,但是却普遍存在着代码未开源、私钥不是本地化存储等问题。
Unibot所暴露的普遍问题
Unibot被攻击,似乎是意料中的事情。行业内人其实有一个共识:不敢把过多的钱放在其中,因为类似的Telegram Bot似乎并不安全。
目前加密行业在安全方面基本上形成了两套发展逻辑和路径。首先是类似中心化的交易所,那就是采用资产担保、接受政府监管的方式。大众的信任还是源于大公司的声誉和监管它的政府机构。
另一套路径则是Defi、自托管钱包等去中心化的产品。用被层层审计过的合约和代码来尽可能保障用户的资产安全。当然这一路径中更重要的是,用户要自己对自己负责,掌握区块链行业的安全知识。
但是对于Unibot这样的产品,它其实充当的是一个在Web2和Web3世界中搭桥的工具,而对于一个Web2.5的产品,其安全又该如何保障?
我们首先来看Unibot本身在哪些方面做的有缺陷,首先是Unibot的合约本身存在问题。同样在进行Telegram 交易方面的Bot创业的Jerry告诉金色财经,这次的被攻击事件简单来说,就是黑客操纵了Unibot的合约,而这个合约本身有用户的Token授权,于是黑客操纵合约把用户的Token转到了他自己的账户。
Jerry分析,这个漏洞其实在之前的安全审核上就应该被避免掉的。而该项目应该没有做过严格的审核,在公开的资料上也未看到有合约审计的消息。而且未开源。
在Jerry看来,除了目前暴露出来的问题,Unibot这个产品本身,也存在着不少问题,比如用户的私钥安全问题。在用户使用Unibot时,其私钥会直接发送到Telegram的对话框中。稍微有点常识的行业内人都明白,私钥绝对不能公开。
用户可以理解这个发送到对话框这个行为发生后,Unibot其实能够掌握用户的私钥。如果项目方有意愿,项目方就能作恶。
在Jerry看来,为了避免这样的情况,这些交易机器人应该做到私钥的本地化存储。当然也可以理解类Unibot这类的交易机器人这样的私钥托管的方式。因为这样的方式可以进行对话式的交互,用户交易时体验会顺滑,这就不需要像小狐狸钱包一样每次交易都需要签名授权。
如何改进
而面对如上的问题,其实解决的方法并不困难,但是对于现有的Bot来说,成本却较高。
比如在用户的私钥安全这个方向,应该去实现的就是私钥的本地化储存,但是如果现有的Bot项目要这样做的话,那就需要把所有的用户进行迁移。据金色财经记者了解,目前,在这一方向,已经有一些团队在做相关的创业,而因为近日Unibot的被攻击风波,相关的风投机构也对BOT的安全方面的创业项目表现出了更高的热情。
而我们把视线放的更宽广,这种在Web2和Web3之间搭建桥梁的产品,又应该如何做来保障用户的资金、以及个人数据的安全呢?又或者是Telegram本身又应该如何做?
梳理Telegram的发展,我们能看到,其实在其过往的实践中,已经有了一些相应在保障用户资产安全方面的实践,比如推出了TON Space的新型自托管钱包。以及在信息安全上,用户可以自行选择对话的端到端的加密。
Telegram上的Bot良莠不齐,甚至还存在黑客利用假的Bot来盗取用户资产的情况。而此次的事件,其实也值得行业内人士警醒,在Web2与Web3愈发融合的当下,在资金安全方面,尤其是这种搭建桥梁的工具,我们更需要的是Web2和Web3交融的方法来保障。比如Telegram本身其实应该起到一定的监管和用户举报后的惩罚作用,而作为一个和区块链行业结合的项目,本身就应该尽可能做到合约审计,代码开源等等。
随着行业的发展,这种"搭桥"产品的各种问题该如何解决肯定也会发展出行业的共识。
来源:金色财经