Drainage d'approbations sur le routeur Unibot

Le 31 octobre 2023, le bot de trading Telegram populaire Unibot a perdu environ 640 000 $ via une vulnérabilité d'approbation de jetons dans un contrat routeur fraîchement déployé. Les utilisateurs ayant accordé des approbations au nouveau routeur Unibot pouvaient se faire transférer leurs jetons par l'attaquant. Unibot s'est publiquement engagé à et a livré un remboursement complet des utilisateurs affectés.

Ce qui s'est passé

Unibot est un bot de trading basé sur Telegram — les utilisateurs interagissent via chat, et il exécute des trades on-chain depuis des wallets gérés ou approuvés par le bot. Comme tout routeur/agrégateur, il repose sur les approbations de jetons accordées par les utilisateurs à ses contrats.

Unibot a déployé un nouveau contrat routeur. Ce contrat contenait une vulnérabilité — une validation manquante ou inadéquate dans un chemin de transfert — qui laissait un appelant arbitraire invoquer des transferts contre tout wallet ayant approuvé le nouveau routeur. La forme exacte est le pattern récurrent « contrat détenant des approbations avec un chemin de transfert non validé » :

1. L'attaquant a identifié la vulnérabilité dans le routeur fraîchement déployé.
2. Pour chaque wallet ayant approuvé le nouveau routeur Unibot, l'attaquant a appelé la fonction vulnérable spécifiant la victime comme source et lui-même comme destination.
3. Drainé environ 640 K$ à travers les utilisateurs affectés avant que le contrat ne soit mis en pause.

Conséquences

• Unibot a mis en pause le routeur affecté et exhorté les utilisateurs à révoquer les approbations.
• L'équipe s'est publiquement engagée à rembourser complètement tous les utilisateurs affectés et a tenu parole, en utilisant revenu/trésor.
• Le jeton UNIBOT a chuté fortement à la nouvelle mais s'est partiellement remis suite à l'engagement de remboursement.

Pourquoi c'est important

Unibot appartient à la classe de risque des bots de trading Telegram aux côtés de Banana Gun (2024) et d'autres — une catégorie de produit qui a grandi à un énorme volume de trading en 2023-2026 mais dont le modèle de sécurité empile plusieurs dépendances fragiles (auth Telegram, custody de clés gérée par bot, code routeur livré rapidement).

Le bug spécifique — un routeur détenant des approbations fraîchement déployé avec un chemin de transfert non validé — est le pattern exact de Furucombo (2021), Transit Swap (2022), LI.FI (2024) et Unizen (2024). La forme récurrente :

• Les utilisateurs accordent des approbations infinies/permanentes à un routeur pour la commodité UX.
• L'équipe livre une nouvelle version de routeur rapidement.
• Le chemin de transfert de la nouvelle version manque de validation rigoureuse appelant/source.
• Chaque utilisateur ayant jamais approuvé le routeur est exposé aux bugs de la nouvelle version.

La leçon structurelle, répétée à travers le catalogue : les approbations infinies sont de la confiance infinie étendue vers l'avant dans le temps à du code qui n'existe pas encore. Chaque futur déploiement de routeur par un protocole que vous avez approuvé hérite de votre approbation permanente. Les réponses défensives — approbations bornées, permits EIP-2612 avec expiration, hygiène régulière de révocation, et traiter chaque mise à niveau de routeur comme une nouvelle cible d'audit — sont bien documentées ; le bug continue de récidiver car le code routeur livre vite et les utilisateurs ne révoquent presque jamais.

La réponse nette de remboursement complet d'Unibot est la caractéristique rédemptrice de l'incident — et de plus en plus la base attendue. Fin 2023, un opérateur de bot de trading qui aurait subi un bug et n'aurait pas indemnisé les utilisateurs ne survivrait pas à la conséquence de réputation ; ceux qui survivent sont ceux qui traitent le remboursement comme non négociable. Cette norme — établie incident par incident à travers ce catalogue — est l'une des rares tendances vraiment positives du jeu de données.