北京时间2023年10月31日12:39:23，Unibot发生漏洞恶意利用，损失了64万美元的资产。攻击者利用Unibot路由器合约中的“arbitrary call”漏洞，将价值64万美元的各种预先授权给路由合约的代币转移到自己名下。

让我们先来了解一下此次事件的漏洞分析和攻击过程。

函数0xb2bd16ab()未正确检查输入参数，特别是varg0和varg4，这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。

攻击从北京时间31日12:39:23开始，持续到了31日的14:09:47。在此期间，攻击者执行了22次攻击交易，调用了攻击合约上的"0x5456a7bf()"方法，该方法反复调用Unibot路由器合约中的"0xb2bd16ab()"方法，将各种代币从受害者地址转移到自己的账户。

总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中，漏洞利用者随后出售了这些代币，获得总计355.5 ETH（约合64万美元）。

Unibot团队稍后做出回应，部署了新的路由器合约。在其官方X账号中他们还宣布了对所有受害者的赔偿计划。目前所有355.5ETH已被转入Tornado.Cash。

此次攻击与此前的Maestrobot事件非常相似。10月25日，CertiK Alert即在X平台发布警告称，Telegram 机器人项目Maestro Bots路由器合约遭受攻击，导致损失约50万美元。

Telegram机器人是Web3.0世界中的一个新兴领域，它让用户能够通过Telegram界面进行各种DeFi操作，同时将代币整合其中。然而，如何区分真正的创新和令人迷惑的假象也变得越来越复杂。

CertiK安全团队对CoinGecko的Telegram机器人代币列表中的61个项目进行了研究，发现近40%的项目疑似处于休眠状态、可能存在欺诈现象，或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的，但许多都缺乏关键的技术细节，尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎，尽量减少与其交互，并避免长期储存资产。

Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪，并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年，但近年来它们随着Telegram机器人代币的出现而备受关注。

Telegram机器人代币是集成到Telegram机器人中的原生代币，主要用于多样化的交易功能，如执行DEX交易、跨钱包管理投资组合、Yield Farming以及其他与DeFi相关的可行操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。如果这些程序能够长期保持安全和正常运行，可能会对DeFi的整体可访问性带来重大影响。