Forklog
2023-07-28 15:45:44

Эксперты предупредили о риске потери криптовалют при торговле через Telegram-ботов

Набирающие популярность криптовалютные торговые боты в Telegram хотя и отличаются дружелюбным интерфейсом и простотой в использовании потенциально могут привести к потере активов и никак не защищены от хакерских атак. Об этом заявили опрошенные ForkLog эксперты.  Большая аудитория мессенджера Telegram и востребованность обменных операций с цифровой валютой привела к увеличению числа торговых ботов, например Unibot, Swipe, WagieBot и Bolt. По данным Dune Analytics, на текущий момент более 66 000 владельцев криптовалют совершили сделки на общую сумму свыше $149,4 млн посредством подобных сервисов. При этом аналитики предупреждают о наличии значительных погрешностей в своих подсчетах. Данные: Dune Analytics. Вместе с тем механизмы создания кошельков и обработки пользовательских активов вызывают опасения экспертов. Преимущества ботов Криптоботы в Telegram предназначены для оптимизации сложных процессов, связанных с созданием кошелька и авторизацией необходимых разрешений для смарт-контрактов на децентрализованных биржах, которые обрабатывают транзакции с активами. Широкий набор функций и стратегий для работы с криптовалютами делают их удобными в использовании. Кроме того, они обеспечивают высокую операционную скорость. "Например, популярный Unibot специализируется на быстрых свопах на Uniswap, совершая сделки в шесть раз быстрее, чем на сайте самой DEX",  — объяснил ForkLog CEO Hacken Дмитрий Будорин. Боты работают путем интеграции с различными криптовалютными биржами и блокчейн-сетями на основе программных алгоритмов, которые выполняют заранее заданные функции. Как правило, использование ботов бесплатное, взимается лишь номинальная комиссия за транзакцию.  "Чтобы начать пользоваться ботом, нужно подключить свой существующий кошелек к платформе и поделиться своим закрытым ключом. Или есть другой способ, когда Telegram-бот создает для вас новый кошелек, [самостоятельно генерируя криптографические ключи]", — рассказывает Будорин. Сид-фразы хранятся в зашифрованном виде на серверах ботов и могут быть показаны пользователю при первой установке сервиса, добавляет руководитель отдела аналитики и исследований HAPI Labs Марк Лецюк. Ключевые проблемы Исходя из вышесказанного, пользователь фактически передает ответственность за сохранность своих активов третьей стороне. Это усугубляется тем, что большинство ботов имеют закрытый исходный код и не проходят аудит безопасности.  "Разработчики имеют полный контроль над кодом и могут внедрять скрытые функции. Некоторые боты предоставляют только исполняемые файлы, что ограничивает возможность проверки безопасности", — отмечает Лецюк.  По его словам, хранение активов на сторонних серверах чревато несанкционированным доступом к данным из-за нарушений безопасности, человеческого фактора и уязвимостей в коде бота. Не исключены спланированные кибератаки на серверы криптоботов, создание ботов с целью мошенничества или проведения схем rug pull. "Хотя популярные криптоботы обычно разработаны с соблюдением высоких стандартов безопасности, ни один бот не является абсолютно недосягаемым для взлома или иных атак. Любая уязвимость может привести к потере средств или как минимум утечке информации", — подчеркнул эксперт. По словам Дмитрия Будорина, дополнительный риск создают технические особенности самого мессенджера Telegram, код которого также не является открытым и не проходил независимый аудит: "Сквозное шифрование доступно только для секретных чатов, с которыми боты взаимодействовать не могут". Во избежание потери активов эксперты рекомендуют использовать только надежных и проверенных поставщиков услуг — в идеале с открытым исходным кодом, положительной репутацией и отзывами, а также аудитами от профильных специалистов.  "Важно периодически обновлять приложения и пароли, регулярно проверять права доступа ботов и при необходимости отзывать таковые, проверять активные сессии и по возможности включать двухфакторную аутентификацию. Хранение больших сумм криптовалют с помощью таких инструментов недопустимо, для этого существуют холодные кошельки", — резюмирует Марк Лецюк. Ранее ForkLog сообщал, что операторы программ-вымогателей, разработчики вредоносного ПО и другие злоумышленники переводят активную деятельность из даркнета в Telegram-каналы. 

获取加密通讯
阅读免责声明 : 此处提供的所有内容我们的网站,超链接网站,相关应用程序,论坛,博客,社交媒体帐户和其他平台(“网站”)仅供您提供一般信息,从第三方采购。 我们不对与我们的内容有任何形式的保证,包括但不限于准确性和更新性。 我们提供的内容中没有任何内容构成财务建议,法律建议或任何其他形式的建议,以满足您对任何目的的特定依赖。 任何使用或依赖我们的内容完全由您自行承担风险和自由裁量权。 在依赖它们之前,您应该进行自己的研究,审查,分析和验证我们的内容。 交易是一项高风险的活动,可能导致重大损失,因此请在做出任何决定之前咨询您的财务顾问。 我们网站上的任何内容均不构成招揽或要约