A fælles rapport af X-explore og WuBlockchain har afsløret, at den seneste API bot angreb på FTX og 3Commas havde længere vidtrækkende implikationer end først antaget.
Angrebet på FTX, som skete den 21. oktober, brugte 3Commas-teknologi og et phishing-svindel til at tage kontrol over flere brugeres API-nøgler.
API Key Phishing-svindel
Når først nøglerne var opnået, var det derefter muligt for angriberen at udnytte specifikke handelspar til at stjæle penge. FTX udstedte en erklæring tilbyder at refundere de berørte brugere som en "engangsting", ifølge CEO Sam Bankman-Fried. Ifølge en rapport har udnyttelsen dog vist sig at være blevet ført ud i livet på både Binance USA og Bittrex-børserne.
"X-explore fandt ud af, at angriberne i FTX&3commas API-tyveriet også angreb Binance USA , Bittrex bytte, stjæle 1053ETH , 301ETH henholdsvis. På nuværende tidspunkt angrebet på Bittrex er stadig i gang."
Hvordan udnyttelsen fungerer i praksis
Den pågældende udnyttelse brugte handelspar med lav volumen til at modvirke handel mod den kompromitterede konto, hvorfra API-nøglen blev stjålet.
En stjålet API-nøgle vil ofte ikke lade en bruger hæve penge fra kontoen, men vil tillade et angreb at handle på deres vegne. I sjældne situationer, hvor en bruger har ladet API-tilladelserne være helt åbne, kan en hacker muligvis hæve penge. Men skulle dette have været tilfældet, ville ansvaret sandsynligvis blot ligge på den bruger, der konfigurerede deres API-nøgle uden grundlæggende sikkerhedsforanstaltninger.
Med hensyn til denne igangværende udnyttelse har angriberen ikke trukket penge direkte, men i stedet brugt et handelspar med lav volumen til at hente penge ind på deres konto ved hjælp af en salgsbog med få ordrer. Hvor en ordrebog har få poster, er det muligt at manipulere prisen for angrebet for at erhverve tokens til en kurs under markedsværdien, før de ombyttes til en anden kryptovaluta.
Angriberen vil miste penge til gebyrer og andre legitime handlende, men da de handler med en andens krypto, er dette sandsynligvis ikke en væsentlig bekymring.
Derudover påvirkede udvekslinger
Rapporten fra X-explore og WuBlockchain erklærede, at 1053ETH blev stjålet fra Binance US mellem den 13. oktober og den 17. oktober. Rapporten bemærkede også, at angriberen sandsynligvis brugte SYS-USD handelsparret, som har en gennemsnitlig handelsvolumen på kun $2 millioner.
Et lignende angreb fandt sted på Bittrex, hvor i alt 301ETH blev stjålet mellem den 23. oktober og den 24. oktober. Rapporten hævdede, at det sandsynlige mål var NXT-BTC handelsparret, som usædvanligt har den næststørste spothandel på Bittrex. I dagene før udnyttelsen var NXT-BTC-volumen meget lavere og blev derfor anset for mistænkelig.
X-explore kommentarer til begivenhederne
I rapportens resumé udtalte X-explore, at analysen afslørede en "ny måde at tyveri på" inden for kryptorummet. Den fremhævede tre nøgleområder, der bør revideres for at reducere sandsynligheden for en lignende udnyttelse i fremtiden. Grundlæggende sikkerhed, spot-token-sikkerhed og transaktionssikkerhed blev udpeget som områder, der skulle behandles.
Med hensyn til grundlæggende sikkerhed hævdede X-explore, at børser skal "designe mere sikker produktlogik for at sikre, at phishing-angreb ikke skader brugere." Men i betragtning af, at brugerne tilsyneladende havde mindst det grundlæggende sikkerhedsniveau på deres API-nøgler (ingen midler blev rapporteret at være blevet direkte trukket tilbage), er det svært at fastslå, hvad der ellers kunne gøres her.
For at API-nøgler kan fungere efter hensigten på systemer såsom 3kommaer, kan der ikke være en yderligere menneskelig indgriben for hver handel. 3commas giver brugerne mulighed for at drage fordel af automatiske handelsstrategier med en høj frekvens, som, når de er konfigureret, kører automatisk baseret på et sæt af definerede kriterier. Derfor vil løsningen til at forbedre sikkerheden være en udfordrende løsning for børser på denne front.
Men at bekæmpe og håndtere phishing-angreb som en angrebsvektor i sig selv er noget, som børser kan gennemgå. Nogle implementerer hemmelige koder, som en bruger kan tjekke efter for at sikre, at meddelelsen er ægte. Medmindre en udvekslingskonto også er kapret, kan brugere ignorere og rapportere e-mails, der ikke indeholder deres hemmelige kode.
Det lave volumen af nogle spothandelspar er helt sikkert en sårbarhed, der muligvis skal løses, da X-explore begrundede, at det nuværende bjørnemarked havde åbnet denne angrebsvektor.
"For at give brugerne flere handelsmuligheder har topbørserne lanceret et stort antal tokens. Efter markedspopulariteten for nogle tokens passerede, faldt handelsvolumen kraftigt, men børserne fjernede dem ikke."
Det sidste punkt fra X-explore i rapporten er relateret til transaktionssikkerhed. X-explore fremhævede, at det udnyttede handelspar på FTX så "transaktionsvolumen stige med tusind gange." den gav dog ingen anbefalinger om en potentiel handling, der skal træffes, når der registreres unormalt høje mængder.
Kilde: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/