A спільна доповідь X-explore і WuBlockchain виявили, що останній API бот-атака на FTX і 3Commas мали більш серйозні наслідки, ніж передбачалося спочатку.
Атака на FTX, яка сталася 21 жовтня, використовувала технологію 3Commas і фішингову аферу, щоб отримати контроль над ключами API кількох користувачів.
API Key Фішинг-експлойти
Після того, як ключі були отримані, зловмисник міг використовувати певні торгові пари для викрадення коштів. FTX випустив a заяву Пропонуючи повернути кошти постраждалим користувачам як «одноразову річ», за словами генерального директора Сема Бенкмана-Фріда. Однак, згідно зі звітом, було виявлено, що експлойт застосовувався на практиці як на біржах Binance US, так і на біржах Bittrex.
«X-explore виявив, що зловмисники в крадіжці API FTX&3commas також атакували Binance США та Bittrex обміни, крадіжки 1053ETH та 301ETH відповідно. Наразі, атака на Bittrex все ще триває."
Як експлойт працює на практиці
Розглянутий експлойт використовував невеликі торгові пари для контрторгівлі проти зламаного облікового запису, з якого було вкрадено ключ API.
Викрадений ключ API часто не дозволяє користувачеві зняти кошти з рахунку, але дозволить атаці торгувати від його імені. У рідкісних ситуаціях, коли користувач залишає дозволи API повністю відкритими, зловмисник може вивести кошти. Однак, якби це було так, відповідальність, ймовірно, лежала б просто на користувачеві, який налаштував свій ключ API без базових заходів безпеки.
Щодо цього триваючого експлойту, зловмисник не виводив кошти безпосередньо, а натомість використовував торгову пару з низьким обсягом, щоб перекачувати гроші на свій рахунок за допомогою книги продажів із невеликою кількістю замовлень. Якщо в книзі заявок мало записів, можна маніпулювати ціною для атаки, щоб придбати токени за курсом, нижчим за ринкову вартість, перш ніж обміняти їх на іншу криптовалюту.
Зловмисник втратить кошти через комісії та інших законних трейдерів, але оскільки вони торгують чужою криптовалютою, це, ймовірно, не викликає серйозних занепокоєнь.
Додатково постраждали біржі
У звіті X-explore і WuBlockchain зазначено, що 1053ETH було вкрадено з Binance US між 13 і 17 жовтня. У звіті також зазначено, що зловмисник, ймовірно, використовував торгову пару SYS-USD, середній обсяг торгів якої становить лише 2 мільйони доларів.
Подібна атака сталася на Bittrex, де в період з 301 по 23 жовтня було вкрадено 24 ETH. У звіті стверджується, що ймовірною мішенню була торгова пара NXT-BTC, яка незвично має другий за величиною обсяг спотових торгів на Bittrex. За кілька днів до експлойту обсяг NXT-BTC був набагато нижчим і тому вважався підозрілим.
X-explore коментує події
У підсумку звіту X-explore стверджує, що аналіз виявив «новий спосіб крадіжки» в криптопросторі. У ньому виділено три ключові області, які слід переглянути, щоб зменшити ймовірність подібного експлойту в майбутньому. Основна безпека, безпека спот-токенів і безпека транзакцій були виділені як сфери, на які слід звернути увагу.
Що стосується базової безпеки, X-explore стверджував, що біржі повинні «розробити більш безпечну логіку продукту, щоб гарантувати, що фішингові атаки не завдадуть шкоди користувачам». Однак, враховуючи, що користувачі, здавалося б, мали принаймні базовий рівень безпеки на своїх ключах API (не повідомлялося про пряме вилучення коштів), важко визначити, що ще тут можна зробити.
Для того, щоб ключі API працювали належним чином у таких системах, як 3commas, для кожної операції не може бути додаткового втручання людини. 3commas дозволяє користувачам користуватися перевагами стратегій автоматичної торгівлі з високою частотою, які після налаштування запускаються автоматично на основі набору визначених критеріїв. Таким чином, рішення щодо покращення безпеки буде складним для бірж на цьому фронті.
Однак боротьба з фішинговими атаками як власним вектором атак — це те, що біржі можуть переглядати. Деякі розгортають секретні коди, які користувач може перевірити, щоб переконатися, що повідомлення справжнє. Користувачі можуть ігнорувати електронні листи, які не містять секретного коду, і повідомляти про них, якщо обліковий запис Exchange також не зламано.
Низький обсяг деяких спотових торгових пар, безсумнівно, є вразливістю, яку, можливо, потрібно усунути, оскільки X-explore вважає, що поточний ведмежий ринок відкрив цей вектор атаки.
«Щоб надати користувачам більше варіантів торгівлі, провідні біржі запустили велику кількість токенів. Після того, як ринкова популярність деяких токенів минула, обсяг торгів різко впав, але біржі не вилучили їх з лістингу».
Останній пункт X-explore у звіті стосується безпеки транзакцій. X-explore підкреслив, що експлуатована торгова пара на FTX «обсяг транзакцій зріс у тисячу разів». однак він не давав рекомендацій щодо можливих дій, які необхідно вжити, коли фіксуються аномально високі обсяги.
Джерело: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/