A relazione congiunta di X-explore e WuBlockchain ha rivelato che le recenti API attacco bot su FTX e 3Commas ha avuto ulteriori implicazioni di quanto si credesse all'inizio.
L'attacco a FTX, avvenuto il 21 ottobre, ha utilizzato la tecnologia 3Commas e una truffa di phishing per assumere il controllo delle chiavi API di diversi utenti.
Exploit della truffa API Key Phishing
Una volta ottenute le chiavi, è stato quindi possibile per l'attaccante sfruttare specifiche coppie di trading per rubare fondi. FTX ha emesso a dichiarazione offrendo di rimborsare gli utenti interessati come "cosa una tantum", secondo il CEO Sam Bankman-Fried. Tuttavia, secondo un rapporto, è stato scoperto che l'exploit è stato messo in pratica sia sugli scambi Binance US che Bittrex.
"X-explore ha scoperto che anche gli aggressori nel furto dell'API FTX&3commas hanno attaccato Binance US ed Bittrex scambi, furti 1053ETH ed 301ETH rispettivamente. In questo momento, l'attacco a Bittrex è ancora in corso."
Come funziona in pratica l'exploit
L'exploit in questione utilizzava coppie di trading a basso volume per controbilanciare l'account compromesso da cui era stata rubata la chiave API.
Una chiave API rubata spesso non consente a un utente di prelevare fondi dal conto, ma consente a un attacco di operare per suo conto. In rare situazioni in cui un utente ha lasciato le autorizzazioni API completamente aperte, un utente malintenzionato potrebbe essere in grado di prelevare fondi. Tuttavia, se così fosse, la responsabilità ricade semplicemente sull'utente che ha impostato la propria chiave API senza misure di sicurezza di base.
Per quanto riguarda questo exploit in corso, l'attaccante non ha prelevato fondi direttamente, ma ha invece utilizzato una coppia di trading a basso volume per sottrarre denaro sul proprio conto utilizzando un libro di vendita con pochi ordini. Laddove un portafoglio ordini ha poche voci, è possibile manipolare il prezzo dell'attacco per acquisire token a un tasso inferiore al valore di mercato prima di scambiarli con un'altra criptovaluta.
L'attaccante perderà fondi a causa delle commissioni e di altri trader legittimi, ma poiché sta negoziando con la criptovaluta di qualcun altro, questa probabilmente non è una preoccupazione significativa.
Scambi ulteriormente interessati
Il rapporto di X-explore e WuBlockchain afferma che 1053ETH è stato rubato da Binance US tra il 13 ottobre e il 17 ottobre. Il rapporto rileva inoltre che l'attaccante probabilmente ha utilizzato la coppia di scambi SYS-USD, che ha un volume medio di scambi di appena 2 milioni di dollari.
Un attacco simile si è verificato su Bittrex, dove un totale di 301ETH è stato rubato tra il 23 e il 24 ottobre. Il rapporto ha affermato che il probabile obiettivo era la coppia di scambi NXT-BTC che insolitamente ha il secondo volume di scambi spot su Bittrex. Nei giorni precedenti l'exploit, il volume di NXT-BTC era molto più basso e quindi ritenuto sospetto.
X-esplora commenti sugli eventi
Nella sintesi del rapporto, X-explore ha affermato che l'analisi ha rivelato un "nuovo modo di furto" all'interno dello spazio crittografico. Ha evidenziato tre aree chiave che dovrebbero essere riviste per ridurre la probabilità di un simile exploit in futuro. La sicurezza di base, la sicurezza dei token spot e la sicurezza delle transazioni sono state individuate come aree da affrontare.
Per quanto riguarda la sicurezza di base, X-explore ha affermato che gli scambi devono "progettare una logica di prodotto più sicura per garantire che gli attacchi di phishing non danneggino gli utenti". Tuttavia, dato che gli utenti apparentemente avevano almeno il livello di sicurezza di base sulle loro chiavi API (non è stato segnalato che i fondi siano stati prelevati direttamente), è difficile stabilire cos'altro si potrebbe fare qui.
Affinché le chiavi API funzionino come previsto su sistemi come 3commas, non può esserci un intervento umano aggiuntivo per ogni operazione. 3commas consente agli utenti di sfruttare strategie di trading automatico ad alta frequenza, che, una volta impostate, vengono eseguite automaticamente in base a una serie di criteri definiti. Pertanto, la soluzione per migliorare la sicurezza sarà una sfida per gli scambi su questo fronte.
Tuttavia, la lotta e la gestione degli attacchi di phishing come vettore di attacco a sé stante è qualcosa che gli scambi possono rivedere. Alcuni implementano codici segreti che un utente può verificare per assicurarsi che il messaggio sia autentico. A meno che anche un account di scambio non venga dirottato, gli utenti possono ignorare e segnalare e-mail che non contengono il loro codice segreto.
Il basso volume di alcune coppie di scambi spot è sicuramente una vulnerabilità che potrebbe dover essere affrontata, poiché X-explore ha affermato che l'attuale mercato ribassista aveva aperto questo vettore di attacco.
“Per fornire agli utenti più opzioni di trading, le principali borse hanno lanciato un gran numero di token. Dopo che la popolarità di mercato di alcuni token è passata, il volume degli scambi è diminuito drasticamente, ma gli scambi non li hanno rimossi".
L'ultimo punto di X-explore nel report è relativo alla sicurezza delle transazioni. X-explore ha evidenziato che la coppia di trading sfruttata su FTX ha visto "il volume delle transazioni aumenta di mille volte". tuttavia, non ha fornito raccomandazioni su una potenziale azione da intraprendere quando si registrano volumi anormalmente elevati.
Fonte: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/