Ķēdes dati atklāj, ka Binance US, Bittrex ir vērsti arī uz API uzbrukumiem, ko izmanto FTX

A kopīgais ziņojums X-explore un WuBlockchain ir atklājuši, ka nesenā API bot uzbrukums par FTX un 3Commas bija plašākas sekas, nekā sākotnēji tika uzskatīts.

Uzbrukumā FTX, kas notika 21. oktobrī, tika izmantota tehnoloģija 3Commas un pikšķerēšanas krāpniecība, lai pārņemtu kontroli pār vairāku lietotāju API atslēgām.

API atslēgas pikšķerēšanas krāpniecības izmantošana

Kad atslēgas bija iegūtas, uzbrucējs varēja izmantot konkrētus tirdzniecības pārus, lai nozagtu līdzekļus. FTX izdeva a paziņojums Saskaņā ar izpilddirektora Sema Bankmana-Frīda teikto, piedāvājot atmaksāt ietekmētajiem lietotājiem kā "vienreizēju lietu". Tomēr saskaņā ar ziņojumu ir atklāts, ka ekspluatācija ir īstenota gan Binance US, gan Bittrex biržās.

“X-explore atklāja, ka uzbrucēji FTX&3commas API zādzībās arī uzbruka Binance ASV un Bittrex maiņas, zagšana 1053ETH un 301ETH attiecīgi. Tagadnē, uzbrukums Bittrex joprojām turpinās."

Kā ekspluatācija darbojas praksē

Attiecīgajā izmantošanā tika izmantoti maza apjoma tirdzniecības pāri, lai veiktu prettirdzniecību pret apdraudēto kontu, no kura tika nozagta API atslēga.

Nozagta API atslēga bieži vien neļaus lietotājam izņemt līdzekļus no konta, bet ļaus uzbrukumam tirgoties viņa vārdā. Retos gadījumos, kad lietotājs ir atstājis API atļaujas pilnībā atvērtas, uzbrucējs var izņemt līdzekļus. Tomēr, ja tas būtu noticis, atbildība, visticamāk, būtu tikai lietotājam, kurš iestatīja savu API atslēgu bez pamata drošības pasākumiem.

Saistībā ar šo notiekošo izmantošanu uzbrucējs nav tieši izņēmis līdzekļus, bet gan izmantojis neliela apjoma tirdzniecības pāri, lai ieskaitītu naudu savā kontā, izmantojot pārdošanas grāmatu ar dažiem pasūtījumiem. Ja pasūtījumu grāmatā ir maz ierakstu, ir iespējams manipulēt ar cenu uzbrukumam, lai iegūtu žetonus par likmi, kas ir zemāka par tirgus vērtību, pirms tos maina pret citu kriptovalūtu.

Uzbrucējs zaudēs līdzekļus maksām un citiem likumīgiem tirgotājiem, taču, tā kā viņi tirgojas ar kāda cita kriptovalūtu, tas, visticamāk, neradīs nopietnas bažas.

Turklāt ietekmēta apmaiņa

X-explore un WuBlockchain ziņojumā teikts, ka 1053ETH tika nozagts no Binance US laikā no 13. līdz 17. oktobrim. Ziņojumā arī norādīts, ka uzbrucējs, iespējams, izmantoja SYS-USD tirdzniecības pāri, kura vidējais tirdzniecības apjoms ir tikai 2 miljoni ASV dolāru.

Līdzīgs uzbrukums notika Bittrex, kur no 301. līdz 23. oktobrim kopumā tika nozagts 24ETH. Ziņojumā tika apgalvots, ka iespējamais mērķis bija NXT-BTC tirdzniecības pāris, kuram neparasti ir otrs lielākais tūlītējās tirdzniecības apjoms Bittrex. Dažās dienās pirms ekspluatācijas NXT-BTC skaļums bija daudz mazāks un tāpēc tika uzskatīts par aizdomīgu.

X-explore komentāri par notikumiem

Ziņojuma kopsavilkumā X-explore norādīja, ka analīze atklāja "jaunu zādzības veidu" kriptovalūtu telpā. Tajā tika uzsvērtas trīs galvenās jomas, kas būtu jāpārskata, lai samazinātu līdzīgas izmantošanas iespējamību nākotnē. Pamatdrošība, tūlītēja marķiera drošība un darījumu drošība tika izdalītas kā jomas, kas jārisina.

Attiecībā uz pamata drošību X-explore apgalvoja, ka apmaiņām ir "jāizstrādā drošāka produktu loģika, lai nodrošinātu, ka pikšķerēšanas uzbrukumi nekaitē lietotājiem." Tomēr, ņemot vērā to, ka lietotāju API atslēgām šķietami bija vismaz pamata drošības līmenis (nav ziņots, ka līdzekļi būtu tieši izņemti), ir grūti noteikt, ko vēl šeit varētu darīt.

Lai API atslēgas darbotos kā paredzēts tādās sistēmās kā 3commas, katrā darījumā nevar būt papildu cilvēka iejaukšanās. 3commas ļauj lietotājiem izmantot automātiskās tirdzniecības stratēģijas ar augstu frekvenci, kas pēc iestatīšanas darbojas automātiski, pamatojoties uz noteiktu kritēriju kopumu. Tādēļ risinājums drošības uzlabošanai būs izaicinājums apmaiņai šajā jomā.

Tomēr pikšķerēšanas uzbrukumu apkarošana un risināšana kā uzbrukuma vektors ir kaut kas tāds, ko apmaiņa var pārskatīt. Daži izvieto slepenos kodus, kurus lietotājs var pārbaudīt, lai pārliecinātos, ka ziņojums ir īsts. Ja vien netiek nolaupīts arī apmaiņas konts, lietotāji var ignorēt un ziņot par e-pasta ziņojumiem, kuros nav viņu slepenā koda.

Dažu tūlītējās tirdzniecības pāru zemais apjoms noteikti ir ievainojamība, kas, iespējams, ir jānovērš, jo X-explore pamatoja, ka pašreizējais lāču tirgus ir pavēris šo uzbrukuma vektoru.

“Lai lietotājiem nodrošinātu vairāk tirdzniecības iespēju, labākās biržas ir izlaidušas lielu skaitu žetonu. Pēc tam, kad dažu žetonu popularitāte tirgū pagāja, tirdzniecības apjoms strauji kritās, taču biržas tos neizņēma no saraksta.

Pēdējais punkts no X-explorre ziņojumā ir saistīts ar darījumu drošību. X-explore uzsvēra, ka izmantotais tirdzniecības pāris FTX redzēja "darījumu apjoms palielinās tūkstoš reižu". tomēr tā nesniedza ieteikumus par iespējamām darbībām, kas jāveic, ja tiek reģistrēti neparasti lieli apjomi.

Avots: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/