A совместный доклад X-explore и WuBlockchain показали, что недавний API атака ботов на FTX и 3Commas имели более серьезные последствия, чем предполагалось ранее.
Атака на FTX, которая произошла 21 октября, использовала технологию 3Commas и фишинговую аферу, чтобы получить контроль над ключами API нескольких пользователей.
Мошенничество с API Key Phishing
Как только ключи были получены, злоумышленник мог использовать определенные торговые пары для кражи средств. FTX выпустила заявление По словам генерального директора Сэма Бэнкман-Фрида, предложение возместить пострадавшим пользователям «единовременно». Однако, согласно отчету, было обнаружено, что эксплойт был применен на биржах Binance US и Bittrex.
«X-explore обнаружил, что злоумышленники в краже API FTX&3commas также атаковали Binance US и Bittrex обмен, воровство 1053ETH и 301ETH соответственно. В настоящий момент, атака на Bittrex все еще продолжается.
Как эксплойт работает на практике
Рассматриваемый эксплойт использовал торговые пары с небольшим объемом для встречной торговли со скомпрометированной учетной записью, из которой был украден ключ API.
Украденный API-ключ часто не позволяет пользователю снимать средства со счета, но позволяет атаке торговать от его имени. В редких случаях, когда пользователь оставил разрешения API полностью открытыми, злоумышленник может вывести средства. Однако, если бы это было так, ответственность, скорее всего, лежала бы просто на пользователе, который настроил свой ключ API без основных мер безопасности.
Что касается этого продолжающегося эксплойта, злоумышленник не вывел средства напрямую, а вместо этого использовал торговую пару с небольшим объемом, чтобы перекачивать деньги на свой счет, используя книгу продаж с несколькими заказами. Если в книге заказов мало записей, можно манипулировать ценой атаки, чтобы приобрести токены по цене ниже рыночной, прежде чем обменять их на другую криптовалюту.
Злоумышленник потеряет средства из-за комиссий и других законных трейдеров, но, поскольку они торгуют чужой криптовалютой, это, вероятно, не является серьезной проблемой.
Дополнительно затронутые биржи
В отчете X-explore и WuBlockchain говорится, что 1053ETH были украдены с Binance US в период с 13 по 17 октября. В отчете также отмечается, что злоумышленник, вероятно, использовал торговую пару SYS-USD, средний объем торгов которой составляет всего 2 миллиона долларов.
Аналогичная атака произошла на Bittrex, где в период с 301 по 23 октября было украдено 24 ETH. В отчете утверждается, что вероятной целью была торговая пара NXT-BTC, которая необычно занимает второе место по объему спотовой торговли на Bittrex. За несколько дней до эксплойта объем NXT-BTC был намного ниже и поэтому считался подозрительным.
X-explore комментирует происходящее
В резюме отчета X-explore заявил, что анализ выявил «новый способ кражи» в криптопространстве. В нем выделены три ключевые области, которые следует пересмотреть, чтобы снизить вероятность аналогичного эксплойта в будущем. Базовая безопасность, безопасность спотовых токенов и безопасность транзакций были выделены в качестве областей, требующих внимания.
Что касается базовой безопасности, X-explore заявил, что биржи должны «разрабатывать более безопасную логику продукта, чтобы гарантировать, что фишинговые атаки не нанесут вред пользователям». Однако, учитывая, что пользователи, по-видимому, имели по крайней мере базовый уровень безопасности своих API-ключей (сообщений о прямом выводе средств не поступало), трудно установить, что еще можно было бы сделать здесь.
Чтобы API-ключи работали должным образом в таких системах, как 3commas, не может быть дополнительного вмешательства человека для каждой сделки. 3commas позволяет пользователям использовать автоматические торговые стратегии с высокой частотой, которые после настройки запускаются автоматически на основе набора определенных критериев. Поэтому решение по повышению безопасности будет сложной задачей для бирж на этом фронте.
Тем не менее, борьба и борьба с фишинговыми атаками как с самостоятельным вектором атаки — это то, что биржи могут пересмотреть. Некоторые используют секретные коды, которые пользователь может проверить, чтобы убедиться в подлинности сообщения. Если учетная запись биржи также не взломана, пользователи могут игнорировать электронные письма, не содержащие их секретного кода, и сообщать о них.
Низкий объем некоторых пар спотовой торговли, безусловно, является уязвимостью, которую, возможно, необходимо устранить, поскольку X-explore рассудил, что текущий медвежий рынок открыл этот вектор атаки.
«Чтобы предоставить пользователям больше возможностей для торговли, ведущие биржи запустили большое количество токенов. После того, как рыночная популярность некоторых токенов прошла, объем торгов резко упал, но биржи не исключили их из листинга».
Последний пункт от X-explore в отчете связан с безопасностью транзакций. X-explore подчеркнул, что в эксплуатируемой торговой паре на FTX «объем транзакций увеличился в тысячу раз». однако он не дал рекомендаций относительно возможных действий, которые необходимо предпринять при записи аномально больших объемов.
Источник: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/