A 联合报告 由 X-explore 和 WuBlockchain 透露,最近的 API 机器人攻击 对 FTX 和 3Commas 的影响比最初认为的更深远。
21 月 3 日发生的对 FTX 的攻击利用 XNUMXCommas 技术和网络钓鱼诈骗来控制多个用户的 API 密钥。
API 密钥网络钓鱼诈骗利用
一旦获得密钥,攻击者就有可能利用特定的交易对来窃取资金。 FTX 发布了 声明 首席执行官 Sam Bankman-Fried 表示,“一次性”向受影响的用户提供退款。 然而,根据一份报告,该漏洞已被发现已在 Binance US 和 Bittrex 交易所实施。
“X-explore 发现 FTX&3commas API 盗窃中的攻击者也进行了攻击 Binance US 和 Bittrex 交换,偷窃 1053ETH 和 301ETH 分别。 现在, 对 Bittrex 的攻击仍在进行中。“
漏洞利用如何在实践中发挥作用
有问题的漏洞利用小批量交易对来对抗 API 密钥被盗的受损账户。
被盗的 API 密钥通常不会让用户从账户中提取资金,但会允许攻击代表他们进行交易。 在用户完全打开 API 权限的极少数情况下,攻击者可能能够提取资金。 但是,如果是这种情况,责任很可能仅仅在于在没有基本安全措施的情况下设置 API 密钥的用户。
关于这个持续的利用,攻击者没有直接提取资金,而是使用少量交易对,使用很少订单的销售账簿将资金虹吸到他们的账户中。 如果订单簿的条目很少,则可以操纵攻击价格以低于市场价值的价格获取代币,然后再将其兑换成另一种加密货币。
攻击者将因费用和其他合法交易者而损失资金,但由于他们正在与其他人的加密货币进行交易,这可能不是一个重大问题。
其他受影响的交易所
X-explore 和 WuBlockchain 的报告称,1053ETH 在 13 月 17 日至 2 月 XNUMX 日期间从 Binance US 被盗。该报告还指出,攻击者可能使用了平均交易量仅为 XNUMX 万美元的 SYS-USD 交易对。
Bittrex 也发生了类似的攻击,在 301 月 23 日至 24 月 XNUMX 日期间共有 XNUMXETH 被盗。该报告认为,可能的目标是 NXT-BTC 交易对,该交易对异常地在 Bittrex 上拥有第二大现货交易量。 在利用前几天,NXT-BTC 的交易量要低得多,因此被认为是可疑的。
X-探索事件评论
在报告的摘要中,X-explore 表示,分析揭示了加密空间内的“新盗窃方式”。 它强调了应审查的三个关键领域,以减少未来发生类似漏洞的可能性。 基础安全性、现货代币安全性和交易安全性被单独列为需要解决的领域。
关于基本安全,X-explore 声称交易所必须“设计更安全的产品逻辑,以确保网络钓鱼攻击不会损害用户。” 然而,鉴于用户的 API 密钥似乎至少具有基本的安全级别(据报道没有直接提取资金),因此很难确定这里还能做些什么。
为了使 API 密钥在 3commas 等系统上按预期工作,每笔交易都不能有额外的人工干预。 3commas 允许用户以高频率利用自动交易策略,一旦设置,就会根据一组定义的标准自动运行。 因此,提高安全性的解决方案对于这方面的交易所来说将是一个具有挑战性的解决方案。
但是,打击和处理网络钓鱼攻击本身就是一种攻击媒介,这是交易所可以审查的。 一些部署用户可以检查的密码以确保消息是真实的。 除非交换帐户也被劫持,否则用户可以忽略并报告不包含其密码的电子邮件。
一些现货交易对的低交易量肯定是一个可能需要解决的漏洞,因为 X-explore 推断当前的熊市已经打开了这个攻击向量。
“为了给用户提供更多的交易选择,顶级交易所推出了大量的代币。 部分代币市场热度过去后,交易量大幅下降,但交易所并没有下架。”
报告中 X-explore 的最后一点与交易安全有关。 X-explore 强调,在 FTX 上被利用的交易对“交易量增加了一千倍”。 然而,它没有就在记录异常大量时可能采取的行动提出建议。
资料来源:https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/