Am 31. Oktober 2023 verlor der beliebte Telegram-Trading-Bot Unibot rund 640.000 Dollar durch eine Token-Approval-Schwachstelle in einem neu deployten Router-Vertrag. Nutzer, die Approvals an den neuen Unibot-Router erteilt hatten, konnten von dem Angreifer Tokens überweisen lassen. Unibot verpflichtete sich öffentlich zur vollen Erstattung betroffener Nutzer und lieferte sie.
Was geschah
Unibot ist ein Telegram-basierter Trading-Bot — Nutzer interagieren mit ihm über Chat, und er führt On-Chain-Trades aus bot-verwalteten oder bot-genehmigten Wallets aus. Wie jeder Router/Aggregator stützt er sich darauf, dass Nutzer Token-Approvals an seine Verträge erteilen.
Unibot deployte einen neuen Router-Vertrag. Dieser Vertrag enthielt eine Schwachstelle — eine fehlende oder unzureichende Validierung in einem Transfer-Pfad —, die einem beliebigen Aufrufer erlaubte, Transfers gegen jede Wallet auszuführen, die den neuen Router genehmigt hatte. Die genaue Form ist das wiederkehrende „Approval-haltender Vertrag mit unvalidiertem Transfer-Pfad"-Muster:
- Der Angreifer identifizierte die Schwachstelle im frisch deployten Router.
- Für jede Wallet, die den neuen Unibot-Router genehmigt hatte, rief der Angreifer die anfällige Funktion auf und spezifizierte das Opfer als Quelle und sich selbst als Ziel.
- Entzog rund 640 Tsd. $ über betroffene Nutzer, bevor der Vertrag pausiert wurde.
Nachwirkungen
- Unibot pausierte den betroffenen Router und drängte Nutzer, Approvals zu widerrufen.
- Das Team verpflichtete sich öffentlich, alle betroffenen Nutzer voll zu erstatten und lieferte mit Einnahmen/Treasury.
- Der UNIBOT-Token fiel auf die Nachricht stark, erholte sich aber nach der Erstattungsverpflichtung teilweise.
Warum es zählt
Unibot gehört zur Telegram-Trading-Bot-Risikoklasse neben Banana Gun (2024) und anderen — eine Produktkategorie, die in 2023-2026 zu enormem Handelsvolumen wuchs, deren Sicherheitsmodell jedoch mehrere fragile Abhängigkeiten schichtet (Telegram-Auth, bot-verwaltete Key-Verwahrung, schnell-ausgelieferter Router-Code).
Der spezifische Bug — ein neu deployter approval-haltender Router mit unvalidiertem Transfer-Pfad — ist das exakte Muster von Furucombo (2021), Transit Swap (2022), LI.FI (2024) und Unizen (2024). Die wiederkehrende Form:
- Nutzer erteilen unbegrenzte/stehende Approvals an einen Router für UX-Bequemlichkeit.
- Das Team liefert eine neue Router-Version schnell aus.
- Der Transfer-Pfad der neuen Version fehlt rigorose Aufrufer-/Quellen-Validierung.
- Jeder Nutzer, der dem Router jemals Approvals erteilt hat, ist den Bugs der neuen Version ausgesetzt.
Die strukturelle Lehre, im Katalog wiederholt: Unbegrenzte Approvals sind unbegrenztes Vertrauen, das in die Zukunft an Code erweitert wird, der noch nicht existiert. Jede zukünftige Router-Bereitstellung durch ein Protokoll, das du genehmigt hast, erbt deine stehende Approval. Die defensiven Antworten — begrenzte Approvals, EIP-2612 Permits mit Ablaufdatum, regelmäßige Widerrufshygiene und die Behandlung jedes Router-Upgrades als frisches Audit-Ziel — sind gut dokumentiert; der Bug wiederholt sich, weil Router-Code schnell ausgeliefert wird und Nutzer fast nie widerrufen.
Unibots saubere Voll-Erstattungs-Antwort ist das erlösende Merkmal des Vorfalls — und zunehmend die erwartete Baseline. Bis Ende 2023 würde ein Trading-Bot-Betreiber, der einen Bug erlitt und Nutzer nicht ganz machte, die Reputationskonsequenzen nicht überleben; jene, die überleben, sind jene, die Erstattung als nicht verhandelbar behandeln. Diese Norm — Vorfall für Vorfall in diesem Katalog etabliert — ist einer der wenigen wirklich positiven Trends im Datensatz.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-unibot-hack-october-2023
- [02]decrypt.cohttps://decrypt.co/203795/unibot-telegram-bot-falls-prey-major-exploit-over-640k-crypto-lost
- [03]rekt.newshttps://rekt.news/unibot-rekt