A gezamenlijk verslag door X-explore en WuBlockchain heeft onthuld dat de recente API bot aanval op FTX en 3Commas had verdergaande implicaties dan eerst werd gedacht.
De aanval op FTX, die plaatsvond op 21 oktober, maakte gebruik van 3Commas-technologie en een phishing-zwendel om de API-sleutels van verschillende gebruikers over te nemen.
API Key Phishing-zwendel exploits
Zodra de sleutels waren verkregen, was het voor de aanvaller mogelijk om specifieke handelsparen te misbruiken om geld te stelen. FTX uitgegeven een verklaring aanbieden om de getroffen gebruikers terug te betalen als een "eenmalig iets", aldus CEO Sam Bankman-Fried. Volgens een rapport is echter ontdekt dat de exploit in de praktijk is gebracht op zowel de Binance US- als de Bittrex-uitwisselingen.
"X-explore ontdekte dat de aanvallers in de FTX&3commas API-diefstal ook aanvielen" Binance US en Bittrex ruilen, stelen 1053ETH en 301ETH respectievelijk. Momenteel, de aanval op Bittrex is nog steeds aan de gang."
Hoe de exploit in de praktijk werkt
De exploit in kwestie gebruikte handelsparen met een klein volume om tegen te handelen tegen het gecompromitteerde account waarvan de API-sleutel was gestolen.
Met een gestolen API-sleutel kan een gebruiker vaak geen geld van het account opnemen, maar kan een aanval namens hem handelen. In zeldzame situaties waarin een gebruiker de API-machtigingen volledig open heeft gelaten, kan een aanvaller mogelijk geld opnemen. Als dit echter het geval zou zijn geweest, zou de verantwoordelijkheid waarschijnlijk gewoon bij de gebruiker liggen die zijn API-sleutel heeft ingesteld zonder elementaire beveiligingsmaatregelen.
Met betrekking tot deze voortdurende exploit heeft de aanvaller niet rechtstreeks geld opgenomen, maar in plaats daarvan een handelspaar met een klein volume gebruikt om geld naar zijn rekening te sluizen met behulp van een verkoopboek met weinig bestellingen. Wanneer een orderboek weinig items bevat, is het mogelijk om de prijs voor de aanval te manipuleren om tokens te verwerven met een snelheid die onder de marktwaarde ligt voordat ze worden ingewisseld voor een andere cryptocurrency.
De aanvaller zal geld verliezen aan vergoedingen en andere legitieme handelaren, maar aangezien ze handelen met de crypto van iemand anders, is dit waarschijnlijk geen grote zorg.
Aanvullend getroffen beurzen
Het rapport van X-explore en WuBlockchain verklaarde dat 1053ETH tussen 13 oktober en 17 oktober van Binance US was gestolen. Het rapport merkte ook op dat de aanvaller waarschijnlijk het SYS-USD-handelspaar gebruikte, dat een gemiddeld handelsvolume van slechts $ 2 miljoen heeft.
Een soortgelijke aanval vond plaats op Bittrex, waar tussen 301 oktober en 23 oktober in totaal 24ETH werd gestolen. Het rapport beweerde dat het waarschijnlijke doelwit het NXT-BTC-handelspaar was, dat ongewoon het op een na grootste spothandelsvolume op Bittrex heeft. In de dagen voor de exploit was het NXT-BTC-volume veel lager en werd het daarom als verdacht beschouwd.
X-explore opmerkingen over de gebeurtenissen
In de samenvatting van het rapport verklaarde X-explore dat de analyse een "nieuwe manier van diefstal" binnen de crypto-ruimte aan het licht bracht. Het benadrukte drie belangrijke gebieden die moeten worden herzien om de kans op een soortgelijke exploit in de toekomst te verkleinen. Basisbeveiliging, spot token-beveiliging en transactiebeveiliging werden aangemerkt als aandachtspunten.
Met betrekking tot basisbeveiliging beweerde X-explore dat uitwisselingen "een veiligere productlogica moeten ontwerpen om ervoor te zorgen dat phishing-aanvallen geen schade toebrengen aan gebruikers." Echter, aangezien de gebruikers schijnbaar ten minste het basisniveau van beveiliging op hun API-sleutels hadden (er werd gemeld dat er geen geld direct was opgenomen), is het moeilijk vast te stellen wat hier nog meer kan worden gedaan.
Om ervoor te zorgen dat API-sleutels werken zoals bedoeld op systemen zoals 3commas, kan er geen extra menselijke tussenkomst zijn voor elke transactie. Met 3commas kunnen gebruikers profiteren van automatische handelsstrategieën met een hoge frequentie, die, eenmaal ingesteld, automatisch worden uitgevoerd op basis van een reeks gedefinieerde criteria. Daarom zal de oplossing voor het verbeteren van de beveiliging een uitdaging zijn voor uitwisselingen op dit front.
Het bestrijden van en omgaan met phishing-aanvallen als aanvalsvector op zich is echter iets dat uitwisselingen kunnen beoordelen. Sommige gebruiken geheime codes waarop een gebruiker kan controleren of het bericht echt is. Tenzij ook een exchange-account wordt gekaapt, kunnen gebruikers e-mails negeren en rapporteren die hun geheime code niet bevatten.
Het lage volume van sommige spothandelsparen is zeker een kwetsbaarheid die mogelijk moet worden aangepakt, aangezien X-explore redeneerde dat de huidige bearmarkt deze aanvalsvector had geopend.
“Om gebruikers meer handelsopties te bieden, hebben de topbeurzen een groot aantal tokens gelanceerd. Nadat de marktpopulariteit van sommige tokens voorbij was, daalde het handelsvolume sterk, maar de beurzen hebben ze niet verwijderd.”
Het laatste punt van X-explore in het rapport heeft betrekking op transactiebeveiliging. X-explore benadrukte dat het uitgebuite handelspaar op FTX "het transactievolume met duizend keer zag toenemen". het gaf echter geen aanbevelingen over een mogelijke actie die moet worden ondernomen wanneer abnormaal hoge volumes worden geregistreerd.
Bron: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/