A zajedničko izvješće by X-explore i WuBlockchain je otkrio da nedavni API bot napad na FTX i 3Commas imao je dalekosežnije implikacije nego što se isprva vjerovalo.
U napadu na FTX, koji se dogodio 21. listopada, korištena je tehnologija 3Commas i phishing prijevara za preuzimanje kontrole nad API ključevima nekoliko korisnika.
API Key Phishing prijevare
Nakon što su ključevi dobiveni, napadač je mogao iskoristiti određene trgovinske parove za krađu sredstava. FTX je izdao a izjava nudeći povrat novca pogođenim korisnicima kao "jednokratnu stvar", prema izvršnom direktoru Samu Bankman-Friedu. Međutim, prema izvješću, otkriveno je da je exploit primijenjen u praksi i na burzama Binance US i Bittrex.
“X-explore je otkrio da su napadači u FTX&3commas API krađi također napali Binance SAD i Bittrex razmjene, krađe 1053ETH i 301ETH odnosno. Trenutno, napad na Bittrex još traje."
Kako exploit funkcionira u praksi
Dotično iskorištavanje koristilo je trgovačke parove male količine za protutrgovinu na kompromitiranom računu s kojeg je ukraden API ključ.
Ukradeni API ključ često neće dopustiti korisniku da podigne sredstva s računa, ali će omogućiti napad da trguje u njegovo ime. U rijetkim situacijama u kojima je korisnik ostavio potpuno otvorene dozvole za API, napadač bi mogao povući sredstva. Međutim, da je to bio slučaj, odgovornost bi vjerojatno ležala jednostavno na korisniku koji je postavio svoj API ključ bez osnovnih sigurnosnih mjera.
Što se tiče ove eksploatacije koja je u tijeku, napadač nije izravno povukao sredstva, već je umjesto toga upotrijebio trgovački par male količine kako bi uvukao novac na svoj račun pomoću knjige prodaje s nekoliko naloga. Tamo gdje knjiga narudžbi ima malo unosa, moguće je manipulirati cijenom za napad kako bi se stekli tokeni po stopi ispod tržišne vrijednosti prije njihove zamjene za drugu kriptovalutu.
Napadač će izgubiti sredstva zbog naknada i drugih legitimnih trgovaca, ali budući da trguje s tuđim kriptovalutama, to vjerojatno nije značajna briga.
Dodatno pogođene razmjene
Izvješće X-explorea i WuBlockchaina navodi da je 1053ETH ukraden iz Binance US između 13. listopada i 17. listopada. Izvješće također navodi da je napadač vjerojatno koristio trgovački par SYS-USD, koji ima prosječni obujam trgovanja od samo 2 milijuna dolara.
Sličan napad dogodio se na Bittrexu, gdje je ukupno 301ETH ukradeno između 23. i 24. listopada. U izvješću se tvrdi da je vjerojatna meta bio NXT-BTC trgovački par koji neobično ima drugi najveći volumen spot trgovine na Bittrexu. U danima prije eksploatacije, obujam NXT-BTC-a bio je puno manji i stoga se smatrao sumnjivim.
X-explore komentira događaje
U sažetku izvješća, X-explore je naveo da je analiza otkrila “novi način krađe” unutar kripto prostora. Istaknuo je tri ključna područja koja bi trebalo pregledati kako bi se smanjila vjerojatnost sličnog iskorištavanja u budućnosti. Osnovna sigurnost, sigurnost spot tokena i sigurnost transakcija izdvojeni su kao područja kojima se treba pozabaviti.
Što se tiče osnovne sigurnosti, X-explore je tvrdio da burze moraju "dizajnirati sigurniju logiku proizvoda kako bi osigurale da phishing napadi ne oštete korisnike." Međutim, s obzirom na to da su korisnici naizgled imali barem osnovnu razinu sigurnosti na svojim API ključevima (nije prijavljeno da su sredstva izravno povučena), teško je ustanoviti što bi se tu još moglo učiniti.
Kako bi API ključevi radili kako je predviđeno na sustavima kao što je 3commas, ne može postojati dodatna ljudska intervencija za svaku trgovinu. 3commas omogućuje korisnicima da iskoriste prednosti automatskih strategija trgovanja s velikom učestalošću, koje se, jednom postavljene, pokreću automatski na temelju skupa definiranih kriterija. Stoga će rješenje za poboljšanje sigurnosti biti izazovno za razmjene na ovom frontu.
Međutim, borba i suočavanje s phishing napadima kao vlastitim vektorom napada nešto je što razmjene mogu pregledati. Neki postavljaju tajne kodove koje korisnik može provjeriti kako bi se uvjerio da je poruka autentična. Osim ako je račun za razmjenu također otet, korisnici mogu ignorirati i prijaviti e-poštu koja ne sadrži njihov tajni kod.
Nizak obujam nekih parova za spot trgovanje zasigurno je ranjivost koju bi možda trebalo riješiti, budući da je X-explore zaključio da je trenutačno medvjeđe tržište otvorilo ovaj vektor napada.
“Kako bismo korisnicima pružili više mogućnosti trgovanja, vrhunske burze lansirale su velik broj tokena. Nakon što je tržišna popularnost nekih tokena prošla, obujam trgovanja naglo je pao, ali ih burze nisu uklonile s kotacije.”
Posljednja točka iz X-explorea u izvješću odnosi se na sigurnost transakcija. X-explore je istaknuo da je eksploatirani trgovački par na FTX-u zabilježio "povećanje volumena transakcija tisuću puta". međutim, nije dao nikakve preporuke o potencijalnim radnjama koje treba poduzeti kada se zabilježe nenormalno velike količine.
Izvor: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/