FTX 대체 통화 도난 사건의 전말, 3Commas API KEY 유출에서 시작하다

저자: Colin Wu, 우설 블록체인

원제목: 《신형 해커 수법: 3Commas API KEY 유출; FTX 등에서의 대칭 도난 전 과정 기록》

21일 한 항저우 사용자가 우설에 제보했다: 그의 FTX 계좌는 19일 밤 갑자기 "미친 듯이" 거래를 하여 5000회 이상, 계좌 자산 160만 달러가 거의 제로에 가까워졌고, 10여 개의 BTC, 수백 개의 ETH 및 수천 개의 FTT 등이 모두 거래 소액 코인 DMG를 통해 도난당했다. 사용자는 1년 전부터 양적 거래 로봇 3Commas를 사용해왔으며, FTX의 API는 업데이트가 필요하지 않아 한 번도 수정하거나 저장한 적이 없다.

FTX의 피드백은 API KEY에 접근할 수 있는 사람이 REST API를 통해 거래를 완료했으며, 사용자의 API KEY가 유출되었을 가능성이 있다고 밝혔다. FTX는 사건 신고서가 있어야 관련 작업, 예를 들어 동결 등에 협조할 수 있다고 했지만, 사용자가 신고 접수증을 제출한 후에는 아무런 답변이 없었다. 3Commas는 어떤 유출도 발생하지 않았다고 밝혔다.

주목할 점은, FTX 고객 서비스가 처음에 "영향을 받은 것은 당신뿐만이 아니다"라고 답변했지만, 이후 FTX 고객 서비스는 더 이상 연락하지 않았고, 이는 오해라고 말했다.

문제는 3Commas 쪽으로 넘어갔고, 우설 보도 후 3Commas는 즉시 다음과 같이 응답했다: 현재 3Commas는 이 사건을 최우선 사항으로 보고 있다. 우리는 로그인 시 2FA 및 OTP와 같은 최고 보안성을 사용하여 사용자 계정이 항상 안전하도록 보장하고 있다. 우리는 사용자와 연락을 유지하여 그들이 필요한 모든 지원을 받을 수 있도록 하고 있다.

이후 3Commas는 공지를 발표했다:

10월 20일, 3Commas 팀은 경고를 받았고, 일부 파트너가 API 키를 통해 3Commas에 연결하여 파트너 계좌에서 DMG 암호화폐 거래 쌍에 대해 무단 거래를 수행하는 사건이 발생했다.

3Commas와 우리의 파트너 거래소 간의 협력 조사에서, 많은 API KEY가 새로운 3Commas 계정과 연결되어 있으며, 이 계정은 처음 생성되어 파트너 거래소에서 DMG 거래 쌍에 대해 무단 거래를 수행하는 데 사용되었다. API 키는 3Commas에서 얻은 것이 아니라 3Commas 플랫폼 외부에서 얻은 것이다.

우리는 조사의 범위를 확대하여 여러 개의 가짜 3Commas 웹사이트를 발견했으며, 이 웹사이트들은 3Commas 웹 인터페이스 디자인을 복사하고 3Commas 사용자로부터 API 키를 포획하여 3Commas 사용자를 "피싱"하고 있다. 이 사용자들은 실수로 가짜 웹사이트를 사용하여 거래 계좌에 연결하려고 시도했다.

API 키는 이후 가짜 웹사이트에 저장되었고, 이후 파트너 거래소의 DMG 거래 쌍에서 무단 거래를 수행하는 데 사용되었다. 공격의 규모와 복잡성으로 인해, 우리는 3rd 파티 브라우저 확장이나 악성 소프트웨어가 사용되었을 가능성도 의심하고 있다. 예방 조치로, 파트너 거래소와 3Commas는 의심스러운 활동이 있을 수 있는 계정을 식별하고, 유출되었을 가능성이 있는 API 키를 비활성화했다.

만약 3Commas에 연결된 거래소 계정이 있고 API가 "유효하지 않음" 또는 "업데이트 필요"로 표시된다면, 귀하의 API 세부정보가 유출되었을 수 있으며, API 키가 파트너 거래소에서 삭제되었을 수 있다. 우리는 귀하가 해당 거래소에서 새로운 API 키를 생성할 것을 권장한다.

https://3commas.io/blog/3commas-security-update-october-20

그러나 공지가 발표된 후, 더 많은 피해자가 나타나기 시작했다.

한 파라과이의 피해자는 우설에 다음과 같이 말했다: 그는 공격에서 거의 104 비트코인을 잃었으며, FTX는 10월 19일부터 이 취약점을 알고 있었고, 이틀 후에 공격을 받았다! 3Commas는 피싱 공격이라고 했지만, 나는 내 3Commas 계정을 사용하여 로봇을 설정한 적이 없으며, 해당 계정은 이미 만료되어 무료 계정으로 강등되었다. 나는 1년 넘게 해당 계정에 접속하지 않았고, 어떤 문서에도 키나 API 키를 저장한 적이 없으며, 단지 1년 넘게 전에 FTX 연결을 설정하기 위해 사용했을 뿐이다. 나는 IT 엔지니어이며, 내 노트북과 스마트폰은 Norton 360 및 기타 적극적으로 피싱이나 바이러스 공격을 방지하는 메커니즘으로 보호받고 있다.

또 다른 중국의 양적 거래 피해자도 3Commas를 사용한 적이 없다고 말했다. 그의 스크린샷에는 19, 20, 21일에 DMG에 대한 대칭 도난이 발생했지만, FTX는 이에 대한 예방 조치를 취하지 않았다.

https://twitter.com/littlesand2/status/1583830658203283456

여론이 확산되면서, 10월 24일 SBF는 마침내 응답하며 600만 달러를 보상하겠다고 밝혔다. 그러나 "이는 일회성 사건이며, 우리는 다른 회사의 가짜 버전으로 피싱에 사용된 보상을 습관화하지 않을 것이다." 현재 사용자는 보상 금액을 받았다. FTX 대칭 도난 사건의 공격자는 획득한 이익을 Binance와 FixedFloat 거래소로 이전했다. SBF는 공격자가 24시간 이내에 95%의 도난 자금을 반환하면 법적 책임을 면제하겠다고 말했다.

현재로서는 FTX와 3Commas 모두 사용자가 가짜 피싱 웹사이트에 로그인하여 API KEY를 유출했다고 주장하고 있다. 피해자들은 물론 이에 동의하지 않는다. 그러나 사건의 핵심은 확실히 API KEY 유출이다. 데이터가 3Commas와 FTX 내부에 있기 때문에 공개된 정보는 현재 매우 적어, 진실이 무엇인지 외부에서는 완전히 알 수 없을 것이다. 총체적으로 API KEY의 권한 부여 및 관리에는 더욱 신중을 기해야 한다.

24일 저녁, @xexploreeth의 최신 연구에 따르면, API KEY 유출로 인해 FTX 사용자들이 수백만 달러의 손실을 입은 것 외에도, Binance US와 Bittrex 거래소도 유사한 공격을 받았으며, 사용된 소액 코인은 각각 SYS/USD와 NXT/BTC로, 손실은 각각 1053 ETH와 301 ETH에 달했다. FTX의 DMG/USD는 공격이 발생할 때 거래량이 천 배 증가하고 가격 변동이 2-3배 발생하여 중대한 비정상 거래 사건으로 간주되지만, FTX는 즉시 이를 차단하지 않았고, 문제는 이후에도 여러 차례 발생했으므로 일정 부분 책임을 져야 한다 (SBF는 사용자 손실을 즉시 보상했다). 다른 거래소도 이에 대해 더욱 주의해야 할 것이다.