A דו"ח משותף מאת X-explore ו- WuBlockchain חשפו כי ה-API האחרון התקפת בוט על FTX ו-3Commas היו השלכות מרחיקות לכת ממה שסברו תחילה.
המתקפה על FTX, שהתרחשה ב-21 באוקטובר, השתמשה בטכנולוגיית 3Commas והונאת פישינג כדי להשתלט על מפתחות API של מספר משתמשים.
ניצול הונאה של מפתח דיוג API
ברגע שהמפתחות הושגו, אז היה אפשר לתוקף לנצל צמדי מסחר ספציפיים כדי לגנוב כספים. FTX הנפיק א הצהרה מציע להחזיר למשתמשים המושפעים כ"דבר חד פעמי", לדברי המנכ"ל סם בנקמן-פריד. עם זאת, על פי דיווח, התגלה כי הניצול יושם בפועל הן בבורסות Binance ארה"ב והן בבורסות ביטרקס.
"X-explore מצא שגם התוקפים בגניבת ה-API של FTX&3commas תקפו Binance ארה"ב ו בטרקס חילופים, גניבה 1053ETH ו 301ETH בהתאמה. בהווה, ההתקפה על Bittrex עדיין בעיצומה."
כיצד פועל הניצול בפועל
הניצול המדובר השתמש בצמדי מסחר בנפח נמוך כדי לסחור נגד החשבון שנפרץ ממנו נגנב מפתח ה-API.
מפתח API גנוב לרוב לא יאפשר למשתמש למשוך כספים מהחשבון, אך יאפשר להתקפה לסחור בשמם. במצבים נדירים שבהם משתמש השאיר את הרשאות ה-API פתוחות לחלוטין, ייתכן שתוקף יוכל למשוך כספים. עם זאת, אם זה היה המקרה, סביר להניח שהאחריות תהיה פשוט על המשתמש שהגדיר את מפתח ה-API שלו ללא אמצעי אבטחה בסיסיים.
לגבי הניצול המתמשך הזה, התוקף לא משך כספים ישירות אלא השתמש בצמד מסחר בנפח נמוך כדי לשאוב כסף לחשבון באמצעות ספר מכירות עם מעט הזמנות. כאשר בספר הזמנות יש מעט כניסות, ניתן לבצע מניפולציות במחיר המתקפה כדי לרכוש אסימונים בשיעור נמוך משווי השוק לפני החלפתם במטבע קריפטוגרפי אחר.
התוקף יפסיד כספים לעמלות ולסוחרים לגיטימיים אחרים, אך מכיוון שהם נסחרים עם קריפטו של מישהו אחר, סביר להניח שלא מדובר בחשש משמעותי.
השפיעו בנוסף על חילופים
הדו"ח של X-explore ו-WuBlockchain קבע כי 1053ETH נגנב מ-Binance US בין ה-13 באוקטובר ל-17 באוקטובר. הדו"ח ציין גם כי ככל הנראה התוקף השתמש בצמד המסחר SYS-USD, בעל נפח מסחר ממוצע של 2 מיליון דולר בלבד.
מתקפה דומה התרחשה על Bittrex, שם נגנב סך של 301ETH בין ה-23 באוקטובר ל-24 באוקטובר. הדו"ח טען שהמטרה הסבירה הייתה צמד המסחר NXT-BTC שבאופן חריג הוא בעל נפח המסחר הספוט השני בגודלו ב-Bittrex. בימים שלפני הניצול, נפח ה-NXT-BTC היה נמוך בהרבה ולכן נחשב חשוד.
X-Explore הערות על האירועים
בסיכום הדו"ח, X-explore קבעה כי הניתוח חשף "דרך חדשה לגניבה" בתוך חלל הקריפטו. הוא הדגיש שלושה תחומים מרכזיים שיש לסקור כדי להפחית את הסבירות לניצול דומה בעתיד. אבטחה בסיסית, אבטחת אסימון נקודתי ואבטחת עסקאות סומנו כתחומים שיש לטפל בהם.
בנוגע לאבטחה בסיסית, X-explore טענה שהבורסה חייבת "לתכנן לוגיקה בטוחה יותר של מוצר כדי להבטיח שהתקפות דיוג לא יפגעו במשתמשים". עם זאת, בהתחשב בכך שלמשתמשים לכאורה הייתה לפחות רמת האבטחה הבסיסית במפתחות ה-API שלהם (לא דווח כי כספים נמשכו ישירות), קשה לקבוע מה עוד ניתן לעשות כאן.
על מנת שמפתחות API יעבדו כמתוכנן במערכות כגון 3commas, לא יכולה להיות התערבות אנושית נוספת עבור כל סחר. 3commas מאפשר למשתמשים לנצל את היתרונות של אסטרטגיות מסחר אוטומטיות בתדירות גבוהה, אשר לאחר ההגדרה, פועלות אוטומטית על סמך קבוצה של קריטריונים מוגדרים. לכן, הפתרון לשיפור האבטחה יהיה מאתגר לבורסות בחזית זו.
עם זאת, לחימה והתמודדות עם התקפות דיוג בתור וקטור התקפה בפני עצמו הוא משהו שחילופי דברים יכולים לסקור. חלקם פורסים קודים סודיים שמשתמש יכול לבדוק כדי לוודא שההודעה אמיתית. אלא אם כן נחטף גם חשבון Exchange, משתמשים יכולים להתעלם ולדווח על מיילים שאינם מכילים את הקוד הסודי שלהם.
הנפח הנמוך של כמה צמדי מסחר נקודתיים הוא בוודאי פגיעות שאולי צריך לטפל בה, שכן X-explore טענה ששוק הדובים הנוכחי פתח את וקטור ההתקפה הזה.
"על מנת לספק למשתמשים אפשרויות מסחר נוספות, הבורסות המובילות השיקו מספר רב של אסימונים. לאחר שהפופולריות בשוק של כמה אסימונים חלפה, נפח המסחר ירד בחדות, אך הבורסות לא הסירו אותם מהרשימה".
הנקודה האחרונה מ-X-explore בדוח קשורה לאבטחת עסקאות. X-explore הדגיש כי צמד המסחר המנוצל ב-FTX ראה "נפח העסקאות גדל פי אלף". עם זאת, הוא לא נתן המלצות לגבי פעולה אפשרית שיש לנקוט כאשר נרשמים נפחים גבוהים באופן חריג.
מקור: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/