新型黑客手法:3Commas API KEY 泄露;在 FTX 等对敲盗币 全过程记录
吴说作者 | Colin Wu
21日一名杭州用户向吴说爆料:他的 FTX 账户在19日晚突然“疯狂”地进行交易达5000多次,账户资产160万美金接近归零,包括10几个 BTC、上百个 ETH 以及几千个 FTT 等,全部通过交易小币 DMG 对敲盗走。用户1年前开始使用量化机器人 3Commas,FTX 的 API 不需要更新,所以从来没动过也没保存过 API。
FTX 反馈是由于有能够访问 API KEY 的人通过 REST API 完成,可能是泄露了用户 API KEY。FTX 表示需要拿到立案通知书才能配合相关例如冻结等工作,但在用户提交报案回执后暂无回复。3Commas 则表示没有发生任何的泄露。
值得注意的是,FTX 客服在最初回复中表示,“受影响的并非只有你”,可随后 FTX 客服就不再联系,并且表示这是个误会。
问题来到了 3Commas 这边,它在吴说报道后连忙回应称:目前,3Commas 将此事视为重中之重。我们在登录时使用 2FA 和 OTP 等具有最高安全性,以确保用户帐户始终安全。我们与用户保持联系,以确保他们获得所需的所有支持。
随后 3Commas 发布了一个公告:
10 月 20 日,3Commas 团队接到警报,发生一起事件,其中一些合作伙伴交换 API 密钥连接到 3Commas,并用于在合作伙伴账户上对 DMG 加密货币交易对进行未经授权的交易。
在 3Commas 和我们的合作伙伴交易所进行的合作调查中,发现许多 API KEY 与新的 3Commas 帐户相关联,这些帐户首次创建并用于在合作伙伴交易所对 DMG 交易对执行未经授权的交易。API 密钥不是从 3Commas 获取的,而是从 3Commas 平台外部获取的。
我们扩大了调查范围,发现了几个假冒的 3Commas 网站,这些网站通过复制 3Commas 网络界面的设计并从 3Commas 用户那里捕获 API 密钥来“钓鱼”3Commas 用户,这些用户不小心使用假冒网站尝试连接他们的交易账户.
API 密钥随后由虚假网站存储,随后用于在合作伙伴交易所的 DMG 交易对上进行未经授权的交易。由于攻击的规模和复杂性,我们还怀疑可能还使用了 3rd 方浏览器扩展或恶意软件。作为预防措施,合作伙伴交易所和 3Commas 已识别出可能存在可疑活动的帐户,并禁用了可能已泄露的 API 密钥。
如果您有一个连接到 3Commas 的交易所帐户,并且显示 API“无效”或“需要更新”,那么您的 API 详细信息可能已被泄露,并且 API 密钥已被合作伙伴交易所删除。我们敦促您在该交易所创建新的 API 密钥。
https://3commas.io/blog/3commas-security-update-october-20
然而在公告发布后,更多的受害者开始出现。
一名来自巴拉圭的受害者告诉吴说:他在攻击中损失了近 104 比特币,他强调FTX 自 10 月 19 日以来就知道该漏洞,两天后我遭到了攻击!3Commas 说是网络钓鱼攻击,但我从未使用我的 3Commas 帐户来设置机器人,而且该帐户甚至已过期并已降级为免费帐户。我已经有一年多没有进入该帐户,我从未将密钥或 API 密钥保存到任何文档中,但仅在一年多前使用它来建立 FTX 连接。我也是一名 IT 工程师,我的笔记本电脑和智能手机由 Norton 360 和其他积极防止任何网络钓鱼或病毒攻击的机制保护。
另一名来自中国的量化交易的受害者也表示,从未使用过 3Commas。在他的截图中,19、20、21日均发生了关于 DMG 的对敲盗币,但 FTX 竟然没有对此做预防措施。
https://twitter.com/littlesand2/status/1583830658203283456
随着舆论发酵,10月24日 SBF 终于回应,表示将赔偿600万美金,但“这是一次性的事件,我们不会养成补偿被其他公司的假冒版本钓鱼使用的习惯”。目前用户已经收到了赔偿的金额。FTX 对敲盗币事件攻击者已将所获取利润转移至 Binance 和 FixedFloat 交易所。SBF 表示若攻击者在 24 小时内归还 95% 的被盗资金,则免除其法律责任。
目前来看,FTX 与 3Commas 都坚称是用户登陆了虚假钓鱼网站而泄露了 API KEY。受害者当然对此并不同意。但事件核心确实是 API KEY 泄露。由于数据都掌握在 3Commas 与 FTX 内部,披露的信息目前也非常稀少,所以真相究竟如何,外界可能也无法完全了解。总而言之,对 API KEY 的授权与管理需要更加谨慎。
24日晚,据 @x_explore_eth 最新研究,因为 API KEY 泄露,除了 FTX 用户因为对敲遭到数百万美金的损失,Binance US 和 Bittres 的交易所也遭到类似的攻击,使用的小币种分别为 SYS/USD 与 NXT/BTC,损失分别达到 1053 ETH 和 301 ETH。FTX 的 DMG/USD 当攻击发生时,交易量增加千倍币价波动2-3倍,属于重大异常交易事件,但 FTX 并没有即时阻止,问题后续持续多次发生,因此也需要承担一定的责任(SBF 也及时补偿了用户损失),其他交易所也应该对此多加关注。
阅读更多:
https://mirror.xyz/x-explore.eth/7vQgTcpa_AUw2JJixzLe7HHlDkPztS9q55GhMHpxy_w
比推快讯
更多 >>- 动态模块化服务平台Crestal完成200万美元Pre-Seed融资,MH Ventures等参投
- Bitfinex 首席技术官否认勒索软件组织数据泄露的谣言
- Jack Dorsey向非营利组织OpenSats捐赠2100万美元
- 特斯拉网站新增狗狗币作为支付方式
- 孙宇晨地址向 Swell Network 存入 12 万枚 eETH,价值 3.76 亿美元
- BTC-e运营商Alexander Vinnik承认共谋洗钱罪
- 美财长耶伦:基本面仍然指向通胀放缓
- Q1 Coinbase 国际交易所永续期货名义合约交易量超 760 亿美元
- 风投Q1向加密和区块链公司投资 24.9 亿美元,环比增长 29%
- 马斯克:需要对我们的国家债务采取行动,否则美元将一文不值
- MakerDAO计划引入两种新代币NewStable和NewGovToken
- 盗走1,155枚WBTC的团伙已将代币全部售出,换成 22,960 ETH
- LayerZero建议女巫地址主动报告,截止日期是 5 月 17 日
- 链上数据API开发商Airstack完成400万美元种子轮融资,Red Beard Ventures领投
- 一巨鲸过去两天逢低买入1500枚BTC,价值约8825万美元
- SEC推迟对7RCC现货比特币和碳信用期货ETF做出决议
- 今日美国9只现货比特币ETF总计减持2350枚BTC,价值约 1.4亿美元
- LayerZero:将在两小时内将发布一项公告
- 盗走1155枚WBTC的地址正在将代币兑换成ETH
- 数据:约74%的BTC在过去6个月未发生移动
- Coinbase:比特币近期走势更多地与全球市场有关
- CFTC专员:在区块链生态中部署AI给监管、风险管理、合规性等带来新的问题
- 美联储理事Michelle Bowman:仍预计利率维持在当前水平
- 两家香港资管公司持有1.12亿美元的美国现货比特币ETF
- BTC突破62000美元
比推专栏
更多 >>- 每月动态 | Web3 安全事件总损失约 9081 万美元
- 脱水大字报:牛市行情或延迟类似2016年
- 矿工日收入突破亿创纪录,比特币符文能否接力铭文?
- 获比特大陆投资且被币安首个接入的BTC L2项目BEVM有何亮点?
- 为什么这轮牛市无法复制 2021 年的山寨季?
- 独家!种子轮融资200万美金+AI叙事的项目
- IOSG Weekly Brief|MKR的涅槃重生:新公链和RWA稳定币与Spark借贷独角兽 #223
- Kusama 上的 Coretime 交易已开始,平行链时代谢幕
- 100亿美元开发投资,红杉资本入局,特斯拉要搞波大的…
- Chainlink Q1产品更新;CCIP正式进入全面可用阶段;Consensus2024来啦|Chainlink 周报
观点
项目
比推热门文章
- 动态模块化服务平台Crestal完成200万美元Pre-Seed融资,MH Ventures等参投
- Bitfinex 首席技术官否认勒索软件组织数据泄露的谣言
- Jack Dorsey向非营利组织OpenSats捐赠2100万美元
- 【比推一周Web3新闻精选】美联储维持利率不变,称通胀进展已陷入停滞;赵长鹏被判四个月监禁;香港6支比特币和以太坊现货ETF首日成交金额超8300万港元
- 特斯拉网站新增狗狗币作为支付方式
- 孙宇晨地址向 Swell Network 存入 12 万枚 eETH,价值 3.76 亿美元
- 宏观风暴来袭,加密市场竟逆势看多?灰度最新4月市场报告解读
- 【比推每日新闻精选】第一季度风投向加密和区块链公司投资 24.9 亿美元,环比增长 29%;MakerDAO计划引入两种新代币NewStable和NewGovToken;美财长耶伦:基本面仍然指向通胀放缓
- BTC-e运营商Alexander Vinnik承认共谋洗钱罪
- 【比推每日市场动态】降息预期”死灰复燃“?加密市场喜迎反弹