A yhteinen raportti X-explore ja WuBlockchain ovat paljastaneet, että viimeaikainen API bottihyökkäys FTX:llä ja 3Commasilla oli laajempia vaikutuksia kuin aluksi uskottiin.
FTX-hyökkäys, joka tapahtui 21. lokakuuta, käytti 3Commas-tekniikkaa ja tietojenkalasteluhuijausta useiden käyttäjien API-avaimien hallintaan.
API Key Phishing -huijaus
Kun avaimet oli saatu, hyökkääjä saattoi hyödyntää tiettyjä kauppapareja varastaakseen varoja. FTX julkaisi a selvitys Toimitusjohtaja Sam Bankman-Friedin mukaan tarjotaan hyvitystä kärsiville käyttäjille "kertaluonteisena". Raportin mukaan hyväksikäyttö on kuitenkin havaittu olleen käytännössä sekä Binance US- että Bittrex-pörsseissä.
"X-explore havaitsi, että myös FTX&3commas API -varkauden hyökkääjät hyökkäsivät Binance Yhdysvallat ja Bittrex vaihto, varastaminen 1053ETH ja 301ETH vastaavasti. Nykyisessä, hyökkäys Bittrexiä vastaan on edelleen käynnissä."
Kuinka hyväksikäyttö toimii käytännössä
Kyseinen hyväksikäyttö käytti vähäisiä kauppapareja tehdäkseen vastakauppaa vaarantunutta tiliä vastaan, jolta API-avain varastettiin.
Varastettu API-avain ei useinkaan anna käyttäjän nostaa varoja tililtä, mutta sallii hyökkäyksen käydä kauppaa heidän puolestaan. Harvinaisissa tilanteissa, joissa käyttäjä on jättänyt API-oikeudet kokonaan auki, hyökkääjä saattaa pystyä nostamaan varoja. Jos näin olisi kuitenkin tapahtunut, vastuu olisi todennäköisesti vain käyttäjällä, joka määritti API-avaimensa ilman perusturvatoimenpiteitä.
Mitä tulee tähän jatkuvaan hyväksikäyttöön, hyökkääjä ei ole nostanut varoja suoraan, vaan sen sijaan on käyttänyt vähäistä kauppaparia siirtääkseen rahaa tililleen käyttämällä myyntikirjaa, jossa oli vähän tilauksia. Jos tilauskirjassa on vähän merkintöjä, on mahdollista manipuloida hyökkäyksen hintaa saadakseen rahakkeita markkina-arvoa alhaisempaan hintaan ennen kuin ne vaihdetaan toiseen kryptovaluuttaan.
Hyökkääjä menettää varoja maksuille ja muille laillisille kauppiaille, mutta koska he käyvät kauppaa jonkun muun kryptolla, tämä ei todennäköisesti ole merkittävä huolenaihe.
Lisäksi vaikutti pörssiin
X-exploren ja WuBlockchainin raportissa todettiin, että 1053ETH varastettiin Binance US:lta lokakuun 13. ja lokakuun 17. välisenä aikana. Raportissa todettiin myös, että hyökkääjä käytti todennäköisesti SYS-USD-kauppaparia, jonka keskimääräinen kaupankäyntivolyymi on vain 2 miljoonaa dollaria.
Samanlainen hyökkäys tapahtui Bittrexiin, jossa yhteensä 301ETH varastettiin lokakuun 23. ja 24. lokakuuta välisenä aikana. Raportin mukaan todennäköinen kohde oli NXT-BTC-kauppapari, jolla on epätavallisen toiseksi suurin spot-kaupankäyntivolyymi Bittrexissä. Hyökkäämistä edeltävinä päivinä NXT-BTC:n äänenvoimakkuus oli paljon pienempi ja siksi sitä pidettiin epäilyttävänä.
X-exploren kommentit tapahtumista
Raportin yhteenvedossa X-explore totesi, että analyysi paljasti "uuden tavan varastaa" kryptoavaruudessa. Siinä korostettiin kolmea keskeistä aluetta, joita olisi tarkasteltava uudelleen samanlaisen hyväksikäytön todennäköisyyden vähentämiseksi tulevaisuudessa. Perusturvallisuus, spot-token-suojaus ja tapahtumaturvallisuus nostettiin esiin alueiksi, joihin on puututtava.
Perusturvallisuuden osalta X-explore väitti, että pörssien on "suunnitteltava turvallisempaa tuotelogiikkaa varmistaakseen, että tietojenkalasteluhyökkäykset eivät vahingoita käyttäjiä". Ottaen kuitenkin huomioon, että käyttäjillä oli ilmeisesti ainakin perusturvataso API-avaimissa (varoja ei raportoitu suoraan nostetun), on vaikea määrittää, mitä muuta tässä voitaisiin tehdä.
Jotta API-avaimet toimisivat tarkoitetulla tavalla järjestelmissä, kuten 3commas, jokaisessa kaupassa ei voi olla ylimääräistä ihmisen väliintuloa. 3commasin avulla käyttäjät voivat hyötyä automaattisista kaupankäyntistrategioista korkealla taajuudella, jotka, kun ne on määritetty, toimivat automaattisesti määritettyjen kriteerien perusteella. Siksi ratkaisu turvallisuuden parantamiseen tulee olemaan haastava tämän alan vaihdolle.
Tietojenkalasteluhyökkäysten torjuminen ja käsitteleminen omana hyökkäysvektorina on kuitenkin asia, jota pörssit voivat tarkastella. Jotkut käyttävät salaisia koodeja, joita käyttäjä voi tarkistaa varmistaakseen, että viesti on aito. Ellei myös Exchange-tiliä kaapata, käyttäjät voivat jättää huomioimatta sähköpostit, jotka eivät sisällä heidän salakoodiaan, ja ilmoittaa niistä.
Joidenkin spot-kaupankäyntiparien alhainen volyymi on varmasti haavoittuvuus, joka saattaa vaatia korjausta, sillä X-explore perusteli, että nykyiset karhumarkkinat olivat avanneet tämän hyökkäysvektorin.
"Tarjotakseen käyttäjille enemmän kaupankäyntivaihtoehtoja, huippupörssit ovat julkaisseet suuren määrän tokeneita. Kun joidenkin rahakkeiden suosio markkinoilla oli ohi, kaupankäyntivolyymi laski jyrkästi, mutta pörssit eivät poistaneet niitä."
Raportin viimeinen kohta X-exploresta liittyy tapahtumaturvallisuuteen. X-explore korosti, että hyödynnetty kauppapari FTX:ssä näki "transaktiovolyymi kasvaa tuhat kertaa". se ei kuitenkaan antanut suosituksia mahdollisista toimenpiteistä, joihin olisi ryhdyttävä, jos kirjataan epätavallisen suuria määriä.
Lähde: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/