作者:Colin Wu
原文:《新型黑客手法:3Commas API KEY 洩露;在FTX 等對敲盜幣全過程記錄》
21日一名杭州用戶向吳說爆料:他的FTX 賬戶在19日晚突然“瘋狂”地進行交易達5000多次,賬戶資產160萬美金接近歸零,包括10幾個BTC、上百個ETH 以及幾千個FTT 等,全部通過交易小幣DMG 對敲盜走。用戶1年前開始使用量化機器人3Commas,FTX 的API 不需要更新,所以從來沒動過也沒保存過API。
FTX 反饋是由於有能夠訪問API KEY 的人通過REST API 完成,可能是洩露了用戶API KEY。 FTX 表示需要拿到立案通知書才能配合相關例如凍結等工作,但在用戶提交報案回執後暫無回复。 3Commas 則表示沒有發生任何的洩露。
值得注意的是,FTX 客服在最初回復中表示,“受影響的並非只有你”,可隨後FTX 客服就不再聯繫,並且表示這是個誤會。
問題來到了3Commas 這邊,它在吳說報導後連忙回應稱:目前,3Commas 將此事視為重中之重。我們在登錄時使用2FA 和OTP 等具有最高安全性,以確保用戶帳戶始終安全。我們與用戶保持聯繫,以確保他們獲得所需的所有支持。
隨後3Commas 發布了一個公告:
10 月20 日,3Commas 團隊接到警報,發生一起事件,其中一些合作夥伴交換API 密鑰連接到3Commas,並用於在合作夥伴賬戶上對DMG 加密貨幣交易對進行未經授權的交易。
在3Commas 和我們的合作夥伴交易所進行的合作調查中,發現許多API KEY 與新的3Commas 帳戶相關聯,這些帳戶首次創建並用於在合作夥伴交易所對DMG 交易對執行未經授權的交易。 API 密鑰不是從3Commas 獲取的,而是從3Commas 平台外部獲取的。
我們擴大了調查範圍,發現了幾個假冒的3Commas 網站,這些網站通過複製3Commas 網絡界面的設計並從3Commas 用戶那裡捕獲API 密鑰來“釣魚”3Commas 用戶,這些用戶不小心使用假冒網站嘗試連接他們的交易賬戶.
API 密鑰隨後由虛假網站存儲,隨後用於在合作夥伴交易所的DMG 交易對上進行未經授權的交易。由於攻擊的規模和復雜性,我們還懷疑可能還使用了3rd 方瀏覽器擴展或惡意軟件。作為預防措施,合作夥伴交易所和3Commas 已識別出可能存在可疑活動的帳戶,並禁用了可能已洩露的API 密鑰。
如果您有一個連接到3Commas 的交易所帳戶,並且顯示API“無效”或“需要更新”,那麼您的API 詳細信息可能已被洩露,並且API 密鑰已被合作夥伴交易所刪除。我們敦促您在該交易所創建新的API 密鑰。
然而在公告發布後,更多的受害者開始出現。
一名來自巴拉圭的受害者告訴吳說:他在攻擊中損失了近104 比特幣,他強調FTX 自10 月19 日以來就知道該漏洞,兩天后我遭到了攻擊! 3Commas 說是網絡釣魚攻擊,但我從未使用我的3Commas 帳戶來設置機器人,而且該帳戶甚至已過期並已降級為免費帳戶。我已經有一年多沒有進入該帳戶,我從未將密鑰或API 密鑰保存到任何文檔中,但僅在一年多前使用它來建立FTX 連接。我也是一名IT 工程師,我的筆記本電腦和智能手機由Norton 360 和其他積極防止任何網絡釣魚或病毒攻擊的機制保護。
另一名來自中國的量化交易的受害者也表示,從未使用過3Commas。在他的截圖中,19、20、21日均發生了關於DMG 的對敲盜幣,但FTX 竟然沒有對此做預防措施。
https://twitter.com/littlesand2/status/1583830658203283456
隨著輿論發酵,10月24日SBF 終於回應,表示將賠償600萬美金,但“這是一次性的事件,我們不會養成補償被其他公司的假冒版本釣魚使用的習慣”。目前用戶已經收到了賠償的金額。 FTX 對敲盜幣事件攻擊者已將所獲取利潤轉移至Binance 和FixedFloat 交易所。 SBF 表示若攻擊者在24 小時內歸還95% 的被盜資金,則免除其法律責任。
目前來看,FTX 與3Commas 都堅稱是用戶登陸了虛假釣魚網站而洩露了API KEY。受害者當然對此並不同意。但事件核心確實是API KEY 洩露。由於數據都掌握在3Commas 與FTX 內部,披露的信息目前也非常稀少,所以真相究竟如何,外界可能也無法完全了解。總而言之,對API KEY 的授權與管理需要更加謹慎。
24日晚,據@x_explore_eth 最新研究,因為API KEY 洩露,除了FTX 用戶因為對敲遭到數百萬美金的損失,Binance US 和Bittres 的交易所也遭到類似的攻擊,使用的小幣種分別為SYS/USD 與NXT/BTC,損失分別達到1053 ETH 和301 ETH。 FTX 的DMG/USD 當攻擊發生時,交易量增加千倍幣價波動2-3倍,屬於重大異常交易事件,但FTX 並沒有即時阻止,問題後續持續多次發生,因此也需要承擔一定的責任(SBF 也及時補償了用戶損失),其他交易所也應該對此多加關注。