A felles rapport av X-explore og WuBlockchain har avslørt at den nylige API botangrep på FTX og 3Commas hadde mer omfattende implikasjoner enn først antatt.
Angrepet på FTX, som skjedde 21. oktober, brukte 3Commas-teknologi og en phishing-svindel for å ta kontroll over flere brukeres API-nøkler.
API Key Phishing-svindel
Når nøklene ble oppnådd, var det mulig for angriperen å utnytte spesifikke handelspar for å stjele midler. FTX utstedte en uttalelse tilbyr å refundere de berørte brukerne som en "engangsting", ifølge administrerende direktør Sam Bankman-Fried. Imidlertid, ifølge en rapport, har utnyttelsen blitt oppdaget å ha blitt satt ut i livet på både Binance USA og Bittrex-børsene.
"X-explore fant at angriperne i FTX&3commas API-tyveri også angrep Binance USA og Bittrex bytte, stjele 1053ETH og 301ETH hhv. På nåværende tidspunkt, angrepet på Bittrex pågår fortsatt."
Hvordan utnyttelsen fungerer i praksis
Den aktuelle utnyttelsen brukte handelspar med lavt volum for å motvirke handel mot den kompromitterte kontoen som API-nøkkelen ble stjålet fra.
En stjålet API-nøkkel vil ofte ikke la en bruker ta ut penger fra kontoen, men vil tillate et angrep å handle på deres vegne. I sjeldne situasjoner der en bruker har forlatt API-tillatelsene helt åpne, kan en angriper være i stand til å ta ut penger. Men skulle dette ha vært tilfelle, ville ansvaret sannsynligvis ligget på brukeren som satte opp API-nøkkelen sin uten grunnleggende sikkerhetstiltak.
Når det gjelder denne pågående utnyttelsen, har ikke angriperen trukket midler direkte, men i stedet brukt et handelspar med lavt volum for å hente penger inn på kontoen sin ved å bruke en salgsbok med få bestillinger. Der en ordrebok har få oppføringer, er det mulig å manipulere prisen for angrepet for å skaffe tokens til en kurs under markedsverdi før du bytter dem mot en annen kryptovaluta.
Angriperen vil tape penger til gebyrer og andre legitime handelsmenn, men siden de handler med andres krypto, er dette sannsynligvis ikke en betydelig bekymring.
I tillegg påvirket utvekslinger
Rapporten fra X-explore og WuBlockchain uttalte at 1053ETH ble stjålet fra Binance US mellom 13. oktober og 17. oktober. Rapporten bemerket også at angriperen sannsynligvis brukte SYS-USD-handelsparet, som har et gjennomsnittlig handelsvolum på bare $2 millioner.
Et lignende angrep skjedde på Bittrex, hvor totalt 301ETH ble stjålet mellom 23. oktober og 24. oktober. Rapporten hevdet at det sannsynlige målet var NXT-BTC-handelsparet som uvanlig har det nest største spothandelsvolumet på Bittrex. I dagene før utnyttelsen var NXT-BTC-volumet mye lavere og ble derfor ansett som mistenkelig.
X-explore kommentarer til hendelsene
I rapportens sammendrag uttalte X-explore at analysen avslørte en "ny måte for tyveri" i kryptorommet. Den fremhevet tre nøkkelområder som bør gjennomgås for å redusere sannsynligheten for en lignende utnyttelse i fremtiden. Grunnleggende sikkerhet, spot token-sikkerhet og transaksjonssikkerhet ble skilt ut som områder som skulle adresseres.
Når det gjelder grunnleggende sikkerhet, hevdet X-explore at børser må "designe sikrere produktlogikk for å sikre at phishing-angrep ikke skader brukere." Men gitt at brukerne tilsynelatende hadde minst det grunnleggende sikkerhetsnivået på API-nøklene (ingen midler ble rapportert å ha blitt direkte trukket ut), er det vanskelig å fastslå hva annet som kan gjøres her.
For at API-nøkler skal fungere etter hensikten på systemer som 3commas, kan det ikke være en ekstra menneskelig intervensjon for hver handel. 3commas lar brukere dra nytte av automatiske handelsstrategier med høy frekvens, som, når de er satt opp, kjøres automatisk basert på et sett med definerte kriterier. Derfor vil løsningen for å forbedre sikkerheten være en utfordrende løsning for børser på denne fronten.
Men å bekjempe og håndtere phishing-angrep som en angrepsvektor i seg selv er noe som børser kan vurdere. Noen distribuerer hemmelige koder som en bruker kan se etter for å sikre at meldingen er ekte. Med mindre en utvekslingskonto også er kapret, kan brukere ignorere og rapportere e-poster som ikke inneholder deres hemmelige kode.
Det lave volumet til noen spothandelspar er sikkert en sårbarhet som kanskje må løses, da X-explore begrunnet at det nåværende bjørnemarkedet hadde åpnet denne angrepsvektoren.
"For å gi brukerne flere handelsalternativer, har toppbørsene lansert et stort antall tokens. Etter at markedspopulariteten til noen tokens gikk over, falt handelsvolumet kraftig, men børsene fjernet dem ikke.»
Det siste punktet fra X-explore i rapporten er knyttet til transaksjonssikkerhet. X-explore fremhevet at det utnyttede handelsparet på FTX så "transaksjonsvolumet øker med tusen ganger." den ga imidlertid ingen anbefalinger om mulige tiltak når det registreres unormalt høye volumer.
Kilde: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/