北京时间 2023 年 10 月 31 日 12: 39: 23 ，Unibot 发生漏洞恶意利用，损失了 64 万美元的资产。攻击者利用 Unibot 路由器合约中的“arbitrary call”漏洞，将价值 64 万美元的各种预先授权给路由合约的代币转移到自己名下。

让我们先来了解一下此次事件的漏洞分析和攻击过程。

漏洞分析

函数 0xb2bd16ab()未正确检查输入参数，特别是 varg 0 和 varg 4 ，这两个参数被用于任意调用外部代币合约并执行‘transferFrom()’方法。

攻击过程

攻击从北京时间 31 日 12: 39: 23 开始，持续到了 31 日的 14: 09: 47 。在此期间，攻击者执行了 22 次攻击交易，调用了攻击合约上的"0x5456a7bf()"方法，该方法反复调用 Unibot 路由器合约中的"0xb2bd16ab()"方法，将各种代币从受害者地址转移到自己的账户。

总共有 42 种代币通过路由器从 364 个受害者地址转移到了攻击者手中，漏洞利用者随后出售了这些代币，获得总计 355.5 ETH（约合 64 万美元）。

Unibot 团队稍后做出回应，部署了新的路由器合约。在其官方 X 账号中他们还宣布了对所有受害者的赔偿计划。目前所有 355.5 ETH 已被转入 Tornado.Cash。

Telegram 机器人

此次攻击与此前的 Maestrobot 事件非常相似。10 月 25 日，CertiK Alert 即在 X 平台发布警告称，Telegram 机器人项目 Maestro Bots 路由器合约遭受攻击，导致损失约 50 万美元。

Telegram 机器人是Web3.0 世界中的一个新兴领域，它让用户能够通过 Telegram 界面进行各种 DeFi 操作，同时将代币整合其中。然而，如何区分真正的创新和令人迷惑的假象也变得越来越复杂。

CertiK 安全团队对 CoinGecko 的 Telegram 机器人代币列表中的 61 个项目进行了研究，发现近 40% 的项目疑似处于休眠状态、可能存在欺诈现象，或面临无法从大幅抛售中恢复的风险。这些平台的交易机制无疑是创新的，但许多都缺乏关键的技术细节，尤其是应用内钱包私钥管理的相关信息。我们建议用户在这些平台上操作需格外谨慎，尽量减少与其交互，并避免长期储存资产。

了解 Telegram 机器人及其代币

Telegram 机器人是通过 Telegram 聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪，并通过 Telegram 界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年，但近年来它们随着 Telegram 机器人代币的出现而备受关注。

Telegram 机器人代币是集成到 Telegram 机器人中的原生代币，主要用于多样化的交易功能，如执行 DEX 交易、跨钱包管理投资组合、Yield Farming 以及其他与 DeFi 相关的可行操作。这些代币本质上允许用户仅通过与 Telegram 界面的交互就能对接整个 DeFi。如果这些程序能够长期保持安全和正常运行，可能会对 DeFi 的整体可访问性带来重大影响。

今年 7 月 20 日之后，这些代币的受欢迎程度急剧上升，一些代币的涨幅甚至超过了 1000% 。这种趋势反映了Web3.0 社区中常见的周期性狂热，其驱动力来自 X 平台（前 Twitter）上Web3.0 货币社区的叙事共鸣。

尤其是 Unibot 崭露头角之后，又涌现出了大量 TBT。而截至 2023 年 8 月 3 日，CoinGecko 的机器人代币栏目已经列出了 61 个此类系统。

穿越叙事的交叉路口

TBT（Telegram 机器人代币）在Web3.0 领域占据了独特的地位。在 X 平台（前 Twitter）上，Web3.0 货币爱好者经常把它们作为实用代币来讨论。此前，“实用”一词在Web3.0 货币领域一直与元叙事相关联，通常涉及人工智能、金融科技、物流、跨境交易等专业行业的故事。TBT 最初是伴随着“实用”叙事而发展起来的，旨在通过创新的用户界面来分散和完善交易活动。但是，TBT 其实已经超越了单一的实用元叙事，在各种 meme 和非 meme 叙事中找到了共鸣。

与此同时，随着 TBT 叙事的发展，围绕迷你游戏 meme 代币的周期性炒作出现了，尤其是一个名为“$HAMS”的项目。$HAMS 是一个昙花一现的 meme 代币，允许用户在仓鼠比赛直播中下注。然而，由于社区成员指控运营商重复使用仓鼠视频片段，$HAMS 在推出后不久便夭折了。这催生了其他各种游戏纪念代币，也称其为 TBT。其中一种代币叫“$TETRIS”，用户可以在其中赌博并参与玩家之间的俄罗斯方块竞赛。某些游戏纪念代币之间的联系是通过在 X 平台上被广泛提及而形成的。

TBT 叙事交叉的另一个例子涉及 PAAL AI。虽然这不是一个专门的 meme，但该项目开发了一个类似 ChatGPT 的 Telegram 聊天机器人。代币和项目结构也与其他 TBT 结构类似。令人费解的是，该项目似乎并没有制作 Telegram 聊天机器人，而是提供了一个类似 ChatGPT 的网页界面。不过，该机器人还是可以通过 API 集成到用户个人的 Telegram 频道中。

CoinGecko 的 TBT 分类

Unibot 发布后不久，CoinGecko 推出了其 TBT 详细列表。该列表最初于 7 月 20 日左右发布，包含约 30 种代币。在短短几周内，这一数字就激增到了 61 。我们采用多种方法对这份名单进行了分析，包括价格动量、流动性动态和交易活跃度等综合指标，并根据这些项目是否可能死亡或交易是否仍然活跃对其进行了分类。截至 8 月的具体分布情况如下方柱状图所示：

在这 61 个项目中，我们将 37 个归为活跃项目， 24 个归为已死亡或可能已死亡项目。这些项目要么跌幅超过 85% ，其资金池只有极少甚至没有流动性，且没有任何活动，要么很可能是退出骗局。也就是说，该类别中有近 40% 的项目已经死亡或不太可能恢复。

值得一提的是，注册 Telegram 机器人账户时提供的钱包是自动生成的，而私钥是之后提供的。Unibot 未说明这些私钥的存储方式或位置是存储在本地还是服务器后台。这意味着，使用这些 Telegram 机器人进行交易和存储资金都是非常危险的。

未整合 Telegram 的项目

在研究过程中，我们发现一些被列为 TBT 的项目要么没有将其代币整合到 Telegram 中，要么没有 Telegram 交易机器人，而只有普通的 Telegram 社区频道。一些项目拥有与 Unibot 相同功能的外部 DApp，另一些项目的路线图表示 Telegram 整合将在未来实现。

其他项目则不具备这些功能，但它们出现在这份名单上或许表明了我们前面提到的交叉叙事。这些项目可能在向 CoinGecko 提交申请时，自我标榜为 TBT 类型的项目，并表明了整合或将在未来整合的目标。我们看到了叙事炒作如何扩大特定类别代币的情况，有些代币甚至以被“meme”的方式存在，即使该项目实际上与其被分配的类别毫无关系。据我们分析，这类叙事炒作的影响非常巨大，足以部分解释以上这种分歧现象。

写在最后

每当有新的叙事在数字货币社区流行起来时，会有大量类似项目继续以同样的叙事进行发布，其中许多要么是退出骗局，要么企图窃取投资者的资产，TBT 在这方面也不例外。

TBT 的开发可能是 DeFi 社区的一项独特创新。尽管这类代币的效用尚不明确，但类似平台的出现，为投资者提供了将数据汇总到交易策略中的新方法。然而，用户应该对这些平台格外谨慎。

在 TBT 领域，项目都是通过 meme 的方式存在，其价值可能在一夜之间消失殆尽，这就要求我们保持谨慎和知情的参与态度。很多项目不能向用户提供清晰的文档，无法说明其钱包密钥的存储位置和生成方式，因此存在巨大的未知风险。

用户应不考虑使用这些平台进行存储。在将外部钱包链接到这些平台，或与这些项目生成的网站进行交互时，用户也应谨慎行事。