فن آوری

داده‌های زنجیره‌ای نشان می‌دهد که Binance US، Bittrex نیز هدف حمله API مورد استفاده در FTX قرار گرفته‌اند.

10/24/2022
اخبار بیت کوین اتریوم
Xeggex

A گزارش مشترک توسط X-explore و WuBlockchain نشان داده است که API اخیر حمله ربات در FTX و 3Commas پیامدهای فراتر از آنچه در ابتدا تصور می شد، داشت.

حمله به FTX، که در 21 اکتبر اتفاق افتاد، از فناوری 3Commas و یک کلاهبرداری فیشینگ برای کنترل کلیدهای API چندین کاربر استفاده کرد.

سوء استفاده از کلاهبرداری های فیشینگ کلید API

زمانی که کلیدها به دست آمد، مهاجم می‌توانست از جفت‌های معاملاتی خاص برای سرقت وجوه سوء استفاده کند. FTX صادر کرد بیانیه به گفته مدیر عامل Sam Bankman-Fried، ارائه بازپرداخت به کاربران آسیب دیده به عنوان یک چیز یکبار مصرف. با این حال، طبق یک گزارش، کشف شده است که این اکسپلویت در هر دو صرافی Binance ایالات متحده و Bittrex به کار گرفته شده است.

«X-explore متوجه شد که مهاجمان در سرقت API FTX&3commas نیز حمله کرده‌اند Binance US و Bittrex مبادله، دزدی 1053ETH و 301ETH به ترتیب. در حال حاضر، حمله به Bittrex هنوز در حال انجام است."

نحوه عملکرد اکسپلویت در عمل

اکسپلویت مورد بحث از جفت های معاملاتی کم حجم برای مقابله با حساب در معرض خطری که کلید API از آن به سرقت رفته بود، استفاده کرد.

یک کلید API دزدیده شده اغلب به کاربر اجازه نمی دهد وجوه خود را از حساب برداشت کند، اما به حمله اجازه می دهد تا از طرف او معامله کند. در شرایط نادری که کاربر مجوزهای API را کاملاً باز گذاشته است، مهاجم ممکن است بتواند وجوه خود را برداشت کند. با این حال، اگر چنین بود، احتمالاً مسئولیت به سادگی بر عهده کاربری است که کلید API خود را بدون اقدامات امنیتی اولیه تنظیم کرده است.

تصویر

با توجه به این سوء استفاده مداوم، مهاجم مستقیماً وجوهی را برداشت نکرده است، بلکه در عوض از یک جفت معاملاتی کم حجم برای انتقال پول به حساب خود با استفاده از دفترچه فروش با تعداد کمی سفارش استفاده کرده است. در جایی که دفترچه سفارش تعداد ورودی‌های کمی دارد، می‌توان قیمت حمله را دستکاری کرد تا توکن‌ها را با نرخی کمتر از ارزش بازار به دست آورد قبل از اینکه آنها را با ارز دیجیتال دیگری مبادله کرد.

مهاجم وجوه خود را به کارمزدها و سایر معامله گران قانونی از دست می دهد، اما از آنجایی که آنها با رمزنگاری شخص دیگری معامله می کنند، این احتمالاً نگرانی قابل توجهی نیست.

علاوه بر این، مبادلات را تحت تأثیر قرار داد

گزارش X-explore و WuBlockchain بیان می‌کند که 1053ETH بین 13 تا 17 اکتبر از بایننس ایالات متحده به سرقت رفته است. این گزارش همچنین خاطرنشان کرد که مهاجم احتمالاً از جفت معاملاتی SYS-USD استفاده کرده است که میانگین حجم معاملات آن تنها 2 میلیون دلار است.

حمله مشابهی در Bittrex رخ داد، جایی که در مجموع 301ETH بین 23 اکتبر و 24 اکتبر به سرقت رفت. این گزارش استدلال می کند که هدف احتمالی جفت معاملاتی NXT-BTC است که به طور غیرعادی دومین حجم معاملات نقطه ای را در Bittrex دارد. در روزهای قبل از اکسپلویت، حجم NXT-BTC بسیار کمتر بود و بنابراین مشکوک تلقی می شد.

نظرات X-explore در مورد رویدادها

در خلاصه گزارش، X-explore بیان کرد که این تجزیه و تحلیل «راه جدیدی از سرقت» را در فضای کریپتو نشان داد. این سه حوزه کلیدی را که باید برای کاهش احتمال سوء استفاده مشابه در آینده مورد بازبینی قرار گیرند، برجسته کرد. امنیت پایه، امنیت توکن نقطه ای و امنیت تراکنش به عنوان حوزه هایی که باید مورد توجه قرار گیرند مشخص شدند.

در رابطه با امنیت اولیه، X-explore ادعا کرد که صرافی‌ها باید «منطق محصول امن‌تری را طراحی کنند تا اطمینان حاصل شود که حملات فیشینگ به کاربران آسیب نمی‌زند». با این حال، با توجه به اینکه کاربران ظاهراً حداقل سطح امنیت کلیدهای API خود را داشتند (هیچ وجهی گزارش نشده است که مستقیماً برداشت شده باشد)، تعیین اینکه چه کارهای دیگری می‌توان در اینجا انجام داد دشوار است.

برای اینکه کلیدهای API بر روی سیستم هایی مانند 3 کاما همانطور که در نظر گرفته شده است کار کنند، نمی توان برای هر معامله دخالت انسانی بیشتری داشت. 3commas به کاربران این امکان را می دهد تا از استراتژی های معاملاتی خودکار با فرکانس بالا استفاده کنند، که پس از راه اندازی، به طور خودکار بر اساس مجموعه ای از معیارهای تعریف شده اجرا می شوند. بنابراین، راه حل بهبود امنیت برای مبادلات در این جبهه چالش برانگیز خواهد بود.

با این حال، مبارزه و مقابله با حملات فیشینگ به عنوان یک بردار حمله به تنهایی چیزی است که صرافی ها می توانند آن را بررسی کنند. برخی از کدهای مخفی استفاده می کنند که کاربر می تواند برای اطمینان از واقعی بودن پیام، آنها را بررسی کند. اگر یک حساب صرافی نیز ربوده نشود، کاربران می توانند ایمیل هایی را که حاوی کد مخفی آنها نیستند نادیده گرفته و گزارش دهند.

حجم کم برخی از جفت‌های معاملات نقطه‌ای مطمئناً آسیب‌پذیری است که ممکن است نیاز به رفع آن داشته باشد، زیرا X-explore استدلال می‌کند که بازار نزولی فعلی این بردار حمله را باز کرده است.

«به منظور ارائه گزینه های معاملاتی بیشتر به کاربران، صرافی های برتر تعداد زیادی توکن راه اندازی کرده اند. پس از گذشت محبوبیت برخی از توکن ها در بازار، حجم معاملات به شدت کاهش یافت، اما صرافی ها آنها را از فهرست خارج نکردند.

آخرین نکته از X-explore در گزارش مربوط به امنیت تراکنش است. X-explore تاکید کرد که جفت تجاری مورد سوء استفاده در FTX شاهد "حجم تراکنش هزار برابر افزایش یافته است." با این حال، هیچ توصیه ای مبنی بر اقدام بالقوه ای که باید در هنگام ثبت حجم های غیرعادی بالا انجام شود، ارائه نکرد.

منبع: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/