A съвместен доклад от X-explore и WuBlockchain разкри, че скорошният API бот атака на FTX и 3Commas имаше по-големи последици, отколкото първоначално се смяташе.
Атаката срещу FTX, която се случи на 21 октомври, използва технологията 3Commas и фишинг измама, за да поеме контрола върху API ключовете на няколко потребители.
API Key Фишинг измами
След като ключовете бяха получени, за нападателя беше възможно да използва конкретни двойки за търговия, за да открадне средства. FTX издаде a изявление предлагайки възстановяване на сумата на засегнатите потребители като „еднократно нещо“, според изпълнителния директор Сам Банкман-Фрайд. Въпреки това, според доклад, беше открито, че експлойтът е бил приложен на практика както на борсите Binance US, така и на Bittrex.
„X-explore установи, че нападателите в кражбата на API на FTX&3commas също са атакували Binance САЩ намлява Bittrex замени, кражби 1053ETH намлява 301ETH съответно. В момента, атаката срещу Bittrex все още е в ход."
Как експлойтът работи на практика
Въпросният експлойт използва търговски двойки с нисък обем за контратърговия срещу компрометираната сметка, от която е откраднат API ключът.
Откраднатият API ключ често няма да позволи на потребителя да изтегли средства от акаунта, но ще позволи атака да търгува от негово име. В редки ситуации, при които потребител е оставил разрешенията за API изцяло отворени, нападателят може да успее да изтегли средства. Въпреки това, ако случаят беше такъв, отговорността вероятно щеше да лежи просто върху потребителя, който е настроил своя API ключ без основни мерки за сигурност.
По отношение на този продължаващ експлойт, нападателят не е изтеглил средства директно, а вместо това е използвал търговска двойка с малък обем, за да източи пари в сметката си, използвайки книга за продажби с малко поръчки. Когато книгата с поръчки има малко записи, е възможно да се манипулира цената за атаката, за да се придобият жетони на курс под пазарната стойност, преди да се обменят за друга криптовалута.
Нападателят ще загуби средства заради такси и други легитимни търговци, но тъй като те търгуват с крипто на някой друг, това вероятно не е съществено притеснение.
Допълнително засегнати борси
Докладът на X-explore и WuBlockchain посочва, че 1053ETH е бил откраднат от Binance US между 13 октомври и 17 октомври. Докладът също така отбелязва, че нападателят вероятно е използвал търговската двойка SYS-USD, която има среден обем на търговия от само $2 милиона.
Подобна атака се случи на Bittrex, където общо 301ETH бяха откраднати между 23 октомври и 24 октомври. Докладът твърди, че вероятната цел е двойката за търговия NXT-BTC, която необичайно има втория по големина обем спот търговия на Bittrex. В дните преди експлойта, обемът на NXT-BTC беше много по-малък и по тази причина се смяташе за подозрителен.
X-explore коментари за събитията
В резюмето на доклада X-explore заяви, че анализът разкрива „нов начин за кражба“ в крипто пространството. Той подчерта три ключови области, които трябва да бъдат прегледани, за да се намали вероятността от подобен експлойт в бъдеще. Основната сигурност, сигурността на спот токени и сигурността на транзакциите бяха посочени като области, които трябва да бъдат разгледани.
По отношение на основната сигурност, X-explore твърди, че борсите трябва да „проектират по-сигурна продуктова логика, за да гарантират, че фишинг атаките няма да навредят на потребителите“. Въпреки това, като се има предвид, че потребителите привидно са имали поне базовото ниво на сигурност на своите API ключове (не се съобщава за директно изтеглени средства), трудно е да се установи какво друго може да се направи тук.
За да работят API ключовете по предназначение на системи като 3commas, не може да има допълнителна човешка намеса за всяка сделка. 3commas позволява на потребителите да се възползват от автоматични стратегии за търговия с висока честота, които, веднъж настроени, се изпълняват автоматично въз основа на набор от определени критерии. Следователно решението за подобряване на сигурността ще бъде предизвикателство за обмена на този фронт.
Въпреки това, борбата и справянето с фишинг атаките като вектор на атака сам по себе си е нещо, което борсите могат да прегледат. Някои разполагат с тайни кодове, които потребителят може да провери, за да се увери, че съобщението е истинско. Освен ако обменен акаунт също не е отвлечен, потребителите могат да игнорират и докладват имейли, които не съдържат техния таен код.
Ниският обем на някои двойки за спот търговия със сигурност е уязвимост, на която може да се наложи да се обърне внимание, тъй като X-explore смята, че текущият мечи пазар е отворил този вектор на атака.
„За да предоставят на потребителите повече опции за търговия, водещите борси пуснаха голям брой токени. След като пазарната популярност на някои токени премина, обемът на търговия спадна рязко, но борсите не ги премахнаха."
Последната точка от X-explore в доклада е свързана със сигурността на транзакциите. X-explore подчерта, че експлоатираната търговска двойка на FTX е видяла „обемът на транзакциите се увеличава хиляда пъти“. той обаче не даде препоръки за потенциално действие, което да се предприеме, когато се регистрират необичайно високи обеми.
Източник: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/