FTX の対敲盗コイン事件の経緯、3Commas API KEY の漏洩から始まる

著者：Colin Wu、ウーのブロックチェーン

元のタイトル：《新しいハッカー手法：3Commas API KEYの漏洩；FTXなどでの対敲盗コインの全過程記録》

21日、杭州のユーザーがウーに暴露した：彼のFTXアカウントは19日の夜に突然「狂った」ように取引を行い、5000回以上に達し、アカウント資産160万ドルがほぼゼロに近づいた。これには10数のBTC、100以上のETH、数千のFTTなどが含まれ、すべて取引小銭DMGで対敲盗まれた。ユーザーは1年前から量子ロボット3Commasを使用しており、FTXのAPIは更新が不要だったため、これまで一度も触ったことも保存したこともなかった。

FTXのフィードバックによると、API KEYにアクセスできる人がREST APIを通じて取引を完了した可能性があり、ユーザーのAPI KEYが漏洩した可能性がある。FTXは、立件通知書を取得しない限り、凍結などの関連作業に協力できないと述べているが、ユーザーが報告書を提出した後、まだ返信はない。3Commasは、漏洩は発生していないと述べている。

注目すべきは、FTXのカスタマーサービスが最初の返信で「影響を受けたのはあなただけではない」と述べたが、その後FTXのカスタマーサービスは連絡を絶ち、これは誤解だと述べたことだ。

問題は3Commasに移り、ウーの報道後、急いで次のように応じた：現在、3Commasはこの問題を最優先事項と見なしている。私たちはログイン時に2FAやOTPなどの最高のセキュリティを使用して、ユーザーアカウントが常に安全であることを確保している。私たちはユーザーと連絡を取り合い、必要なすべてのサポートを提供している。

その後、3Commasは次のような公告を発表した：

10月20日、3Commasチームは警報を受け取り、いくつかのパートナーがAPIキーを使用して3Commasに接続し、パートナーアカウントでDMG暗号通貨取引ペアに対して無許可の取引を行う事件が発生した。

3Commasと私たちのパートナー取引所での共同調査において、多くのAPI KEYが新しい3Commasアカウントに関連付けられていることが判明した。これらのアカウントは初めて作成され、パートナー取引所でDMG取引ペアに対して無許可の取引を実行するために使用された。APIキーは3Commasから取得されたものではなく、3Commasプラットフォーム外から取得されたものである。

私たちは調査の範囲を広げ、いくつかの偽の3Commasウェブサイトを発見した。これらのウェブサイトは3Commasのウェブインターフェースのデザインをコピーし、3CommasユーザーからAPIキーを捕獲することで3Commasユーザーを「フィッシング」している。これらのユーザーは偽のウェブサイトを使用して取引アカウントに接続しようとした。

APIキーはその後、偽のウェブサイトに保存され、パートナー取引所のDMG取引ペアで無許可の取引に使用された。攻撃の規模と複雑さから、3rdパーティのブラウザ拡張機能やマルウェアが使用された可能性も疑われている。予防措置として、パートナー取引所と3Commasは、疑わしい活動がある可能性のあるアカウントを特定し、漏洩した可能性のあるAPIキーを無効にした。

3Commasに接続された取引所アカウントがあり、APIが「無効」または「更新が必要」と表示される場合、あなたのAPI詳細が漏洩しており、APIキーがパートナー取引所によって削除された可能性があります。私たちは、該当の取引所で新しいAPIキーを作成することを強くお勧めします。

https://3commas.io/blog/3commas-security-update-october-20

しかし、公告が発表された後、さらに多くの被害者が現れ始めた。

パラグアイの被害者はウーに語った：彼は攻撃で約104ビットコインを失った。彼はFTXが10月19日以来この脆弱性を知っていたと強調し、「2日後に攻撃を受けた！」と述べた。3Commasはフィッシング攻撃だと言っているが、私は自分の3Commasアカウントを使ってロボットを設定したことはなく、そのアカウントはすでに期限切れで無料アカウントにダウングレードされている。私は1年以上そのアカウントにアクセスしておらず、キーやAPIキーをどの文書にも保存したことはないが、1年以上前にFTX接続を設定するために使用しただけだ。私はITエンジニアでもあり、私のノートパソコンとスマートフォンはNorton 360やその他の積極的にフィッシングやウイルス攻撃を防ぐメカニズムによって保護されている。

中国からの量子取引の別の被害者も、3Commasを使用したことがないと述べた。彼のスクリーンショットには、19、20、21日にDMGに関する対敲盗コインが発生したが、FTXはこれに対して予防措置を講じなかった。

https://twitter.com/littlesand2/status/1583830658203283456

世論が高まる中、10月24日、SBFはついに応じ、600万ドルの補償を行うと述べたが、「これは一度限りの事件であり、他社の偽のバージョンによるフィッシング使用の補償を習慣化することはない」と述べた。現在、ユーザーは補償金を受け取っている。FTXの対敲盗コイン事件の攻撃者は、得た利益をBinanceとFixedFloat取引所に移動させた。SBFは、攻撃者が24時間以内に95％の盗まれた資金を返還すれば、法的責任を免除すると述べた。

現時点では、FTXと3Commasはどちらもユーザーが偽のフィッシングサイトにログインしたためにAPI KEYが漏洩したと主張している。被害者は当然これに同意していない。しかし、事件の核心は確かにAPI KEYの漏洩である。データは3CommasとFTX内部に保持されており、開示される情報も非常に限られているため、真実がどうであるか、外部は完全には理解できないかもしれない。要するに、API KEYの権限と管理にはより慎重さが求められる。

24日の夜、@xexploreethの最新の研究によると、API KEYの漏洩により、FTXユーザーが対敲によって数百万ドルの損失を被っただけでなく、Binance USとBittrexの取引所も同様の攻撃を受け、小銭種はそれぞれSYS/USDとNXT/BTCで、損失はそれぞれ1053 ETHと301 ETHに達した。FTXのDMG/USDは攻撃が発生した際、取引量が千倍に増加し、価格が2-3倍変動し、重大な異常取引事件に該当するが、FTXは即座にこれを阻止せず、問題はその後も何度も発生したため、一定の責任を負う必要がある（SBFもユーザーの損失を適時補償した）。他の取引所もこれに注意を払うべきである。