Unibot被攻击 暴露了Bot类产品的哪些安全问题？

金色财经记者 Jessy

10月31日，Unibot被攻击，Unibot官方发布公告称：“被攻击原因是在新路由器中出现了代币批准的漏洞，由于新路由器的错误而造成的任何资金损失都将得到补偿；用户的密钥和钱包是安全的。"

据了解，此次攻击事件共造成了超过60万美元的损失。虽然团队已经承诺会全部赔付。但是此次被攻击事件却暴露出来Unibot，乃至Telegram Bot这个种类产品本身存在的问题。

在此次事件中，有专业人士指出，此次攻击更像是一场有预谋的内鬼行为：因为该合约并未开源，黑客却轻松找到漏洞，以及在Unibot上线一周后，黑客就进行了攻击部署，为此次攻击蛰伏了半年。

而从此次事件，我们能够窥见的是，Telegram Bot本身也存在着较大的安全问题，尤其是涉及金钱、交易相关的Bot，其实是对于安全要求很高的，但是却普遍存在着代码未开源、私钥不是本地化存储等问题。

Unibot所暴露的普遍问题

Unibot被攻击，似乎是意料中的事情。行业内人其实有一个共识：不敢把过多的钱放在其中，因为类似的Telegram Bot似乎并不安全。

目前加密行业在安全方面基本上形成了两套发展逻辑和路径。首先是类似中心化的交易所，那就是采用资产担保、接受政府监管的方式。大众的信任还是源于大公司的声誉和监管它的政府机构。

另一套路径则是Defi、自托管钱包等去中心化的产品。用被层层审计过的合约和代码来尽可能保障用户的资产安全。当然这一路径中更重要的是，用户要自己对自己负责，掌握区块链行业的安全知识。

但是对于Unibot这样的产品，它其实充当的是一个在Web2和Web3世界中搭桥的工具，而对于一个Web2.5的产品，其安全又该如何保障？

我们首先来看Unibot本身在哪些方面做的有缺陷，首先是Unibot的合约本身存在问题。同样在进行Telegram 交易方面的Bot创业的Jerry告诉金色财经，这次的被攻击事件简单来说，就是黑客操纵了Unibot的合约，而这个合约本身有用户的Token授权，于是黑客操纵合约把用户的Token转到了他自己的账户。

Jerry分析，这个漏洞其实在之前的安全审核上就应该被避免掉的。而该项目应该没有做过严格的审核，在公开的资料上也未看到有合约审计的消息。而且未开源。

在Jerry看来，除了目前暴露出来的问题，Unibot这个产品本身，也存在着不少问题，比如用户的私钥安全问题。在用户使用Unibot时，其私钥会直接发送到Telegram的对话框中。稍微有点常识的行业内人都明白，私钥绝对不能公开。

用户可以理解这个发送到对话框这个行为发生后，Unibot其实能够掌握用户的私钥。如果项目方有意愿，项目方就能作恶。

在Jerry看来，为了避免这样的情况，这些交易机器人应该做到私钥的本地化存储。当然也可以理解类Unibot这类的交易机器人这样的私钥托管的方式。因为这样的方式可以进行对话式的交互，用户交易时体验会顺滑，这就不需要像小狐狸钱包一样每次交易都需要签名授权。

如何改进

而面对如上的问题，其实解决的方法并不困难，但是对于现有的Bot来说，成本却较高。

比如在用户的私钥安全这个方向，应该去实现的就是私钥的本地化储存，但是如果现有的Bot项目要这样做的话，那就需要把所有的用户进行迁移。据金色财经记者了解，目前，在这一方向，已经有一些团队在做相关的创业，而因为近日Unibot的被攻击风波，相关的风投机构也对BOT的安全方面的创业项目表现出了更高的热情。

而我们把视线放的更宽广，这种在Web2和Web3之间搭建桥梁的产品，又应该如何做来保障用户的资金、以及个人数据的安全呢？又或者是Telegram本身又应该如何做？

梳理Telegram的发展，我们能看到，其实在其过往的实践中，已经有了一些相应在保障用户资产安全方面的实践，比如推出了TON Space的新型自托管钱包。以及在信息安全上，用户可以自行选择对话的端到端的加密。

Telegram上的Bot良莠不齐，甚至还存在黑客利用假的Bot来盗取用户资产的情况。而此次的事件，其实也值得行业内人士警醒，在Web2与Web3愈发融合的当下，在资金安全方面，尤其是这种搭建桥梁的工具，我们更需要的是Web2和Web3交融的方法来保障。比如Telegram本身其实应该起到一定的监管和用户举报后的惩罚作用，而作为一个和区块链行业结合的项目，本身就应该尽可能做到合约审计，代码开源等等。

随着行业的发展，这种"搭桥"产品的各种问题该如何解决肯定也会发展出行业的共识。