A ühise aruande X-explore ja WuBlockchain on paljastanud, et hiljutine API bot rünnak FTX-il ja 3Commasil olid ulatuslikumad tagajärjed, kui esialgu arvati.
FTX-i rünnak, mis toimus 21. oktoobril, kasutas 3Commasi tehnoloogiat ja andmepüügipettust, et võtta kontrolli mitme kasutaja API-võtmete üle.
API võtmete andmepüügipettuse ärakasutamine
Kui võtmed olid kätte saadud, oli ründajal võimalik raha varastamiseks ära kasutada konkreetseid kauplemispaare. FTX andis välja a avaldus tegevjuhi Sam Bankman-Friedi sõnul pakkudes mõjutatud kasutajatele raha tagasi maksmist "ühekordse asjana". Aruande kohaselt on aga avastatud, et ärakasutamine on praktikas rakendatud nii Binance USA kui ka Bittrexi börsidel.
„X-explore leidis, et ründasid ka FTX&3commas API varguse ründajad Binance USA ja Bittrex vahetused, varastamine 1053ETH ja 301ETH vastavalt. Hetkel, rünnak Bittrexi vastu on endiselt pooleli."
Kuidas ärakasutamine praktikas töötab
Kõnealune ärakasutamine kasutas väikesemahulisi kauplemispaare, et vastukaupleda ohustatud kontoga, millelt API võti varastati.
Varastatud API-võti ei lase kasutajal sageli kontolt raha välja võtta, vaid võimaldab rünnakul nende nimel kaubelda. Harvadel juhtudel, kui kasutaja on jätnud API load täiesti avatuks, võib ründajal olla võimalik raha välja võtta. Kui see aga nii oleks olnud, lasuks vastutus tõenäoliselt lihtsalt kasutajal, kes seadistas oma API võtme ilma põhiliste turvameetmeteta.
Seoses selle jätkuva ärakasutamisega ei ole ründaja raha otse välja võtnud, vaid kasutas väikesemahulist kauplemispaari, et raha oma kontole suunata, kasutades väheste tellimustega müügiraamatut. Kui tellimusraamatus on vähe kirjeid, on enne nende vahetamist teise krüptovaluuta vastu võimalik manipuleerida rünnaku hinnaga, et omandada žetoone turuväärtusest madalama hinnaga.
Ründaja kaotab raha tasudele ja teistele seaduslikele kauplejatele, kuid kuna nad kauplevad kellegi teise krüptoga, pole see tõenäoliselt oluline probleem.
Lisaks mõjutas vahetusi
X-explore'i ja WuBlockchaini aruandes väideti, et 1053ETH varastati ettevõttest Binance US ajavahemikus 13. oktoober kuni 17. oktoober. Aruandes märgiti ka, et tõenäoliselt kasutas ründaja SYS-USD kauplemispaari, mille keskmine kauplemismaht on vaid 2 miljonit dollarit.
Sarnane rünnak leidis aset Bittrexi vastu, kus 301. oktoobrist 23. oktoobrini varastati kokku 24ETH. Aruandes väideti, et tõenäoline sihtmärk oli NXT-BTC kauplemispaar, millel on ebatavaliselt Bittrexi suuruselt teine spot-kauplemismaht. Päevadel enne ärakasutamist oli NXT-BTC helitugevus palju väiksem ja seetõttu peeti seda kahtlaseks.
X-explore'i kommentaarid sündmuste kohta
Aruande kokkuvõttes märkis X-explore, et analüüs paljastas krüptoruumis "uue varguse viisi". Selles tõsteti esile kolm peamist valdkonda, mis tuleks läbi vaadata, et vähendada tulevikus sarnase ärakasutamise tõenäosust. Tegelemist vajavate valdkondadena toodi välja elementaarne turvalisus, spot-tokeni turvalisus ja tehingute turvalisus.
Põhiturbe osas väitis X-explore, et börsid peavad "välja töötama turvalisema tooteloogika tagamaks, et andmepüügirünnakud ei kahjustaks kasutajaid". Arvestades aga seda, et kasutajate API-võtmete turvalisuse tase näis olevat vähemalt algtasemel (teatatud ei ole, et raha oleks otse välja võetud), on raske kindlaks teha, mida siin veel teha saaks.
Selleks et API-võtmed töötaksid ettenähtud viisil sellistes süsteemides nagu 3commas, ei saa iga tehingu puhul olla täiendavat inimsekkumist. 3commas võimaldab kasutajatel kasutada kõrge sagedusega automaatseid kauplemisstrateegiaid, mis pärast seadistamist käivituvad automaatselt teatud kriteeriumide alusel. Seetõttu on turvalisuse parandamise lahendus selle valdkonna teabevahetuse jaoks keeruline.
Andmepüügirünnakute kui omaette rünnakuvektori vastu võitlemine ja nendega tegelemine on aga midagi, mida teabevahetused saavad üle vaadata. Mõned juurutavad salakoode, mida kasutaja saab kontrollida, et sõnum oleks ehtne. Kui ka vahetuskontot pole kaaperdatud, saavad kasutajad eirata ja teatada e-kirjadest, mis ei sisalda nende salakoodi.
Mõnede hetkekauplemispaaride väike maht on kindlasti haavatavus, mis võib vajada kõrvaldamist, kuna X-explore põhjendas, et praegune karuturg on selle rünnaku vektori avanud.
"Selleks, et pakkuda kasutajatele rohkem kauplemisvõimalusi, on tippbörsid turule toonud suure hulga žetoone. Pärast mõne märgi turu populaarsuse möödumist langes kauplemismaht järsult, kuid börsid ei viinud neid börsilt välja.
X-explore'i viimane punkt aruandes on seotud tehingu turvalisusega. X-explore rõhutas, et FTX-i ärakasutatud kauplemispaar nägi "tehingute mahtu tuhat korda". see ei andnud aga soovitusi võimalike meetmete kohta, mida tuleks võtta ebaharilikult suurte koguste registreerimisel.
Allikas: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/