A zajednički izvještaj X-explore i WuBlockchain su otkrili da je nedavni API napad bota na FTX i 3Commas imali su dalje implikacije nego što se mislilo.
Napad na FTX, koji se dogodio 21. oktobra, koristio je tehnologiju 3Commas i phishing prevaru kako bi preuzeo kontrolu nad nekoliko korisničkih API ključeva.
API ključ phishing prevara
Nakon što su ključevi dobijeni, napadač je tada mogao iskoristiti određene trgovačke parove za krađu sredstava. FTX je izdao a izjava nudeći refundiranje pogođenim korisnicima kao "jednokratnu stvar", kaže izvršni direktor Sam Bankman-Fried. Međutim, prema izvještaju, otkriveno je da je eksploatacija primijenjena i na berzi Binance US i Bittrex.
“X-explore je otkrio da su napadači u krađi FTX&3commas API-ja također napali Binance US i Bittrex razmjena, krađa 1053ETH i 301ETH respektivno. Trenutno, napad na Bittrex je i dalje u toku."
Kako eksploatacija funkcionira u praksi
U pitanju je eksploatacija koristila trgovačke parove malog obima za protivtrgovinu protiv kompromitovanog računa sa kojeg je ukraden API ključ.
Ukradeni API ključ često neće dozvoliti korisniku da povuče sredstva sa računa, ali će omogućiti napad da trguje u njihovo ime. U rijetkim situacijama u kojima je korisnik ostavio API dozvole potpuno otvorene, napadač može biti u mogućnosti da povuče sredstva. Međutim, da je to bio slučaj, odgovornost bi vjerovatno ležala jednostavno na korisniku koji je podesio svoj API ključ bez osnovnih sigurnosnih mjera.
Što se tiče ovog tekućeg eksploatacije, napadač nije povukao sredstva direktno, već je umjesto toga koristio trgovački par malog obima kako bi ubacio novac na svoj račun koristeći knjigu prodaje s nekoliko naloga. Tamo gdje knjiga narudžbi ima malo unosa, moguće je manipulirati cijenom za napad kako bi se stekli tokeni po stopi ispod tržišne vrijednosti prije nego što se razmijene za drugu kriptovalutu.
Napadač će izgubiti sredstva zbog naknada i drugih legitimnih trgovaca, ali kako oni trguju s tuđim kriptovalutama, to vjerovatno nije velika briga.
Dodatno pogođene razmjene
U izvještaju X-explore i WuBlockchain stoji da je 1053ETH ukraden iz Binance US između 13. i 17. oktobra. U izvještaju se također navodi da je napadač vjerovatno koristio trgovački par SYS-USD, koji ima prosječan obim trgovine od samo 2 miliona dolara.
Sličan napad se dogodio i na Bittrex, gdje je ukradeno ukupno 301ETH između 23. oktobra i 24. oktobra. U izvještaju se tvrdi da je vjerovatna meta trgovački par NXT-BTC koji neobično ima drugi najveći obim spot trgovanja na Bittrexu. U danima prije eksploatacije, obim NXT-BTC-a bio je mnogo manji i stoga je smatran sumnjivim.
X-istražite komentare na događaje
U sažetku izvještaja, X-explore je naveo da je analiza otkrila “novi način krađe” unutar kripto prostora. Naglasila je tri ključna područja koja bi trebalo razmotriti kako bi se smanjila vjerovatnoća sličnog eksploatacije u budućnosti. Osnovna sigurnost, sigurnost spot tokena i sigurnost transakcija su izdvojene kao oblasti kojima se treba baviti.
Što se tiče osnovne sigurnosti, X-explore je tvrdio da razmjene moraju „dizajnirati sigurniju logiku proizvoda kako bi osigurale da napadi krađe identiteta ne oštete korisnike“. Međutim, s obzirom na to da su korisnici naizgled imali barem osnovni nivo sigurnosti na svojim API ključevima (nije prijavljeno da su sredstva direktno povučena), teško je ustanoviti šta bi se tu još moglo učiniti.
Da bi API ključevi radili kako je predviđeno na sistemima kao što su 3commas, ne može postojati dodatna ljudska intervencija za svaku trgovinu. 3commas omogućava korisnicima da iskoriste prednosti automatskih strategija trgovanja sa visokom frekvencijom, koje se, nakon postavljanja, pokreću automatski na osnovu skupa definisanih kriterijuma. Stoga će rješenje za poboljšanje sigurnosti biti izazovno za razmjene na ovom frontu.
Međutim, borba i rješavanje phishing napada kao samog vektora napada je nešto što razmjene mogu pregledati. Neki postavljaju tajne kodove koje korisnik može provjeriti kako bi osigurao da je poruka originalna. Osim ako račun za razmjenu također nije otet, korisnici mogu zanemariti i prijaviti e-poštu koja ne sadrži njihov tajni kod.
Nizak obim nekih parova za promptno trgovanje je sigurno ranjivost na koju se možda treba obratiti, jer je X-explore zaključio da je trenutno medvjeđe tržište otvorilo ovaj vektor napada.
“Kako bi korisnicima pružili više opcija za trgovanje, vrhunske berze su lansirale veliki broj tokena. Nakon što je tržišna popularnost nekih tokena prošla, obim trgovine je naglo opao, ali berze ih nisu uklonile.”
Poslednja tačka iz X-explore u izveštaju se odnosi na sigurnost transakcije. X-explore je naglasio da je eksploatisani trgovački par na FTX-u doživio „obim transakcija povećan hiljadu puta“. međutim, nije dao preporuke o potencijalnim merama koje treba preduzeti kada se registruju nenormalno velike količine.
Izvor: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/