Drenaje de aprobaciones del router de Unibot

El 31 de octubre de 2023, el popular bot de trading de Telegram Unibot perdió aproximadamente $640.000 mediante una vulnerabilidad de aprobación de tokens en un contrato router recién desplegado. Los usuarios que habían concedido aprobaciones al nuevo router de Unibot podían tener sus tokens transferidos por el atacante. Unibot se comprometió públicamente y entregó el reembolso completo a los usuarios afectados.

Qué ocurrió

Unibot es un bot de trading basado en Telegram — los usuarios interactúan con él vía chat, y ejecuta trades on-chain desde billeteras gestionadas o aprobadas por el bot. Como cualquier router/agregador, depende de que los usuarios concedan aprobaciones de tokens a sus contratos.

Unibot desplegó un nuevo contrato router. Ese contrato contenía una vulnerabilidad — una validación ausente o inadecuada en una ruta de transferencia — que permitía a un llamante arbitrario invocar transferencias contra cualquier billetera que hubiera aprobado el nuevo router. La forma exacta es el patrón recurrente de "contrato con aprobaciones permanentes con ruta de transferencia no validada":

1. El atacante identificó la vulnerabilidad en el router recién desplegado.
2. Para cada billetera que había aprobado el nuevo router de Unibot, el atacante llamó a la función vulnerable especificando la víctima como origen y a sí mismo como destino.
3. Drenó aproximadamente $640K entre los usuarios afectados antes de que el contrato fuera pausado.

Consecuencias

• Unibot pausó el router afectado e instó a los usuarios a revocar las aprobaciones.
• El equipo se comprometió públicamente a reembolsar plenamente a todos los usuarios afectados y lo cumplió, usando ingresos/tesorería.
• El token UNIBOT cayó bruscamente con la noticia pero se recuperó parcialmente tras el compromiso de reembolso.

Por qué importa

Unibot pertenece a la clase de riesgo de bots de trading de Telegram junto con Banana Gun (2024) y otros — una categoría de producto que creció a un enorme volumen de trading en 2023-2026 pero cuyo modelo de seguridad apila múltiples dependencias frágiles (auth de Telegram, custodia de claves gestionada por el bot, código de router de lanzamiento rápido).

El bug específico — un router con aprobaciones permanentes recién desplegado con una ruta de transferencia no validada — es el patrón exacto de Furucombo (2021), Transit Swap (2022), LI.FI (2024) y Unizen (2024). La forma recurrente:

• Los usuarios conceden aprobaciones infinitas/permanentes a un router por conveniencia UX.
• El equipo lanza una nueva versión del router rápidamente.
• La ruta de transferencia de la nueva versión carece de validación rigurosa de llamante/origen.
• Cada usuario que alguna vez aprobó el router está expuesto a los bugs de la nueva versión.

La lección estructural, repetida a lo largo del catálogo: las aprobaciones infinitas son confianza infinita extendida hacia adelante en el tiempo a código que aún no existe. Cada futuro despliegue de router por un protocolo que has aprobado hereda tu aprobación permanente. Las respuestas defensivas — aprobaciones acotadas, permits EIP-2612 con expiración, higiene regular de revocación, y tratar cada actualización de router como un nuevo objetivo de auditoría — están bien documentadas; el bug sigue recurriendo porque el código de router se lanza rápido y los usuarios casi nunca revocan.

La respuesta limpia de reembolso completo de Unibot es el aspecto redentor del incidente — y cada vez más la base esperada. Para finales de 2023, un operador de bot de trading que sufriera un bug y no hiciera que los usuarios fueran completamente compensados no sobreviviría a la consecuencia reputacional; los que sobreviven son los que tratan el reembolso como innegociable. Esa norma — establecida incidente a incidente a lo largo de este catálogo — es una de las pocas tendencias genuinamente positivas en el conjunto de datos.