Brzi pregled
- Rastući interes za trgovačke botove na Telegramu poput Unibota, Swipea, WagieBota i Bolta izaziva zabrinutost zbog njihove sigurnosti.
Rastući priliv kripto trgovaca privlači botove integrisane sa aplikacijom za razmenu poruka Telegram, neki od njih uključuju Unibota, Swipea, WagieBota i Bolta. Podaci Dune Analytics-a pokazuju da je od maja preko 63.000 kripto korisnika izvršilo trgovinske transakcije u vrednosti od skoro $186 miliona koristeći ove botove.
Ipak, kako aktivnost cveta, stručnjaci sa kritičkim okom posmatraju posebno način na koji botovi rukuju korisničkim sredstvima.
Privlačnost leži u izuzetnoj jednostavnosti – trgovina sa njima je jednostavna kao slanje poruke. Na osnovu unapred definisanih pravila, nakon primanja poruke oni mogu identifikovati trgovinske naredbe, interpretirati ih i zatim brzo izvršiti transakcije na povezanim decentralizovanim berzama.
Iako botovi pružaju funkcionalnosti koje olakšavaju proces trgovcima koji žele brzo kupiti ili prodati kriptovalute na decentralizovanim berzama, mnogi stručnjaci smatraju da je njihova sigurnost među najlošijima dostupnim u kripto sektoru.
“Mislim da je porast Telegram botova užasan razvoj – zatvorenog koda i prepuštate svoje privatne ključeve. Ovo je čak i gore nego ranije kada ste slali sredstva na nepoznatu veb stranicu berze”, rekao je Christian Seifert, bivši vođa bezbednosti u Microsoftu i istraživač u rezidenciji u Forta Network-u, za The Block. “Botovi mogu biti čak i rizičniji od interakcije sa nepoznatim pametnim ugovorom gde možete specificirati i ograničiti odobrenje. Sa botovima, praktično prepuštate sve i nadate se da neće uzeti vaša sredstva.”
Ključne zabrinutosti
Da bi olakšali trgovinu kriptovalutama korisnicima, Telegram botovi su dizajnirani da pojednostave složene procese u vezi sa uspostavljanjem kripto novčanika i autorizacijom neophodnih dozvola za pametne ugovore iza decentralizovanih berzi koje rukuju transakcijama sredstava.
Na početku, kripto bot kreira novčanik za svoje korisnike, pružajući im privatne ključeve za olakšavanje trgovine. Zatim se od korisnika traži da uplate sredstva na ove novčanike kako bi započeli trgovinu. Međutim, to predstavlja problem, jer izaziva princip održavanja sigurnog samostalnog čuvanja sredstava.
Blockchain bezbednosna firma BlockSec izrazila je zabrinutost u vezi sa sve većim trendom Telegram botova, pri čemu je suosnivač Yajin Zhou naglasio potencijalne opasnosti povezane sa prenosom tokena na novčanike trećih strana koje su kreirane od strane aplikacija ili otkrivanjem privatnih ključeva. On je istakao da iako botovi odlično funkcionišu u pogledu brzine i jednostavnosti korišćenja, često dolaze po cenu sigurnosti.
Kada ove usluge automatski generišu novčanik za korisnike, postoji inherentni rizik u vezi sa daljim čuvanjem privatnih ključeva na platformi, objasnio je Zhou. U slučaju curenja podataka ili hakovanja, to bi moglo biti katastrofalno za korisnike botova, što može dovesti do potencijalnog gubitka sredstava od strane sajber kriminalaca.
“Da biste koristili bota, korisnici moraju preneti tokene na novčanik treće strane ili podeliti svoje privatne ključeve. Ko može garantovati da ovi podeljeni ključevi neće biti otkriveni ili da vlasnik bota neće zloupotrebiti?”, rekao je Zhou za The Block.
Kada bot generiše novčanik, zapravo kreira kriptografski par ključeva. Javni ključ je odredište za dolazna sredstva. Privatni ključ, kao ekskluzivna tačka pristupa ovim digitalnim sredstvima, može postati potencijalna meta; ako ga zlonamerni akteri kompromituju, mogu isprazniti povezana sredstva. S druge strane, ako korisnik izgubi privatni ključ bez rezervne kopije, zaključan je iz svojih sopstvenih sredstava.
Zhou je dalje objasnio da budući da korisnici nisu oni koji generišu privatne ključeve, njihova sigurnost nije uvek zagarantovana, otvarajući vrata za potencijalno zloupotrebu. Takođe je upozorio na mračnu perspektivu nepoštenih razvojnih programera botova koji bi mogli iskoristiti korisnike u budućnosti. Poredeći sa prošlim tržišnim ludilima, poput memecoin projekata i DeFi, Zhou je podsetio da su mnogi od njih otkriveni kao prevare, prevareći brojne investitore.
Operativna jednostavnost
Sa sve većom upotrebom botova, nekoliko stručnjaka je izrazilo zabrinutost zbog očiglednog nedostatka sigurnosnih revizija koda, što ukazuje da bi zaštita korisničkih sredstava mogla biti u opasnosti, posebno ako postoji veo neprozirnosti oko mehanike projekta.
“Ovi botovi nemaju pravilnu sigurnosnu reviziju, ne pružaju uvid u metode čuvanja privatnih ključeva i na njihovim veb stranicama nema nikakve sigurnosne dokumentacije”, rekao je Dave Schwed, COO bezbednosne firme Halborn.
Sigurnosne revizije, koje izvode stručnjaci trećih strana, procenjuju podložnost sistema za prekršaje. Njihova uloga je ključna u osiguravanju da sistemi poštuju najbolje prakse, čime se štiti i korisnički podaci i sredstva. Nedostatak takvih revizija podiže crvene zastave, signalizirajući moguće propuste ili kompromise, istakao je Schwed.
Osim toga, Schwed je skrenuo pažnju na nedostatak krajnje do krajnje enkripcije na samom Telegramu, što predstavlja potencijalne ranjivosti. “Iako su Telegram razgovori enkriptovani, nemaju krajnje do krajnje enkripcije. To znači da Telegram ima mogućnost dekodiranja poruka, osim kada korisnici odaberu ‘tajne razgovore’. Nažalost, ovi tajni razgovori ne podržavaju interakciju sa botovima”, rekao je on.
Krajnje do krajnje enkripcija, koja je prisutna u “tajnim razgovorima”, garantuje da samo učesnici razgovora imaju mogućnost dešifrovanja poruka, efektivno sprečavajući čak i Telegram da pristupi. Ova značajna razlika ima značajne posledice kako za privatnost podataka, tako i za sigurnost.
“S obzirom da botovi funkcionišu unutar Telegramovog domena koji nije krajnje do krajnje enkriptovan, bilo koje instrukcije koje odražavaju finansijske radnje korisnika mogu biti u opasnosti”, dodao je Schwed. Bilo