FTX 對敲盜幣事件始末,從 3Commas API KEY 洩露說起
作者:Colin Wu,吳說區塊鏈
原标题:《新型黑客手法:3Commas API KEY 洩露;在 FTX 等對敲盜幣 全過程記錄》
21日一名杭州用戶向吳說爆料:他的 FTX 賬戶在19日晚突然"瘋狂"地進行交易達5000多次,賬戶資產160萬美金接近歸零,包括10幾個 BTC、上百個 ETH 以及幾千個 FTT 等,全部通過交易小幣 DMG 對敲盜走。用戶1年前開始使用量化機器人 3Commas,FTX 的 API 不需要更新,所以從來沒動過也沒保存過 API。
FTX 反饋是由於有能夠訪問 API KEY 的人通過 REST API 完成,可能是洩露了用戶 API KEY。FTX 表示需要拿到立案通知書才能配合相關例如凍結等工作,但在用戶提交報案回執後暫無回覆。3Commas 則表示沒有發生任何的洩露。
值得注意的是,FTX 客服在最初回覆中表示,"受影響的並非只有你",可隨後 FTX 客服就不再聯繫,並且表示這是個誤會。
問題來到了 3Commas 這邊,它在吳說報導後連忙回應稱:目前,3Commas 將此事視為重中之重。我們在登錄時使用 2FA 和 OTP 等具有最高安全性,以確保用戶帳戶始終安全。我們與用戶保持聯繫,以確保他們獲得所需的所有支持。
隨後 3Commas 發布了一個公告:
10 月 20 日,3Commas 團隊接到警報,發生一起事件,其中一些合作夥伴交換 API 密鑰連接到 3Commas,並用於在合作夥伴賬戶上對 DMG 加密貨幣交易對進行未經授權的交易。
在 3Commas 和我們的合作夥伴交易所進行的合作調查中,發現許多 API KEY 與新的 3Commas 賬戶相關聯,這些賬戶首次創建並用於在合作夥伴交易所對 DMG 交易對執行未經授權的交易。API 密鑰不是從 3Commas 獲取的,而是從 3Commas 平台外部獲取的。
我們擴大了調查範圍,發現了幾個假冒的 3Commas 網站,這些網站通過複製 3Commas 網絡界面的設計並從 3Commas 用戶那裡捕獲 API 密鑰來"釣魚"3Commas 用戶,這些用戶不小心使用假冒網站嘗試連接他們的交易賬戶。
API 密鑰隨後由虛假網站存儲,隨後用於在合作夥伴交易所的 DMG 交易對上進行未經授權的交易。由於攻擊的規模和複雜性,我們還懷疑可能還使用了 3rd 方瀏覽器擴展或惡意軟件。作為預防措施,合作夥伴交易所和 3Commas 已識別出可能存在可疑活動的帳戶,並禁用了可能已洩露的 API 密鑰。
如果您有一個連接到 3Commas 的交易所帳戶,並且顯示 API"無效"或"需要更新",那麼您的 API 詳細信息可能已被洩露,並且 API 密鑰已被合作夥伴交易所刪除。我們敦促您在該交易所創建新的 API 密鑰。
https://3commas.io/blog/3commas-security-update-october-20
然而在公告發布後,更多的受害者開始出現。
一名來自巴拉圭的受害者告訴吳說:他在攻擊中損失了近 104 比特幣,他強調FTX 自 10 月 19 日以來就知道該漏洞,兩天後我遭到了攻擊!3Commas 說是網絡釣魚攻擊,但我從未使用我的 3Commas 賬戶來設置機器人,而且該賬戶甚至已過期並已降級為免費賬戶。我已經有一年多沒有進入該賬戶,我從未將密鑰或 API 密鑰保存到任何文檔中,但僅在一年多前使用它來建立 FTX 連接。我也是一名 IT 工程師,我的筆記本電腦和智能手機由 Norton 360 和其他積極防止任何網絡釣魚或病毒攻擊的機制保護。
另一名來自中國的量化交易的受害者也表示,從未使用過 3Commas。在他的截圖中,19、20、21日均發生了關於 DMG 的對敲盜幣,但 FTX 竟然沒有對此做預防措施。
https://twitter.com/littlesand2/status/1583830658203283456
隨著輿論發酵,10月24日 SBF 終於回應,表示將賠償600萬美金,但"這是一次性的事件,我們不會養成補償被其他公司的假冒版本釣魚使用的習慣"。目前用戶已經收到了賠償的金額。FTX 對敲盜幣事件攻擊者已將所獲利潤轉移至 Binance 和 FixedFloat 交易所。SBF 表示若攻擊者在 24 小時內歸還 95% 的被盜資金,則免除其法律責任。
目前來看,FTX 與 3Commas 都堅稱是用戶登錄了虛假釣魚網站而洩露了 API KEY。受害者當然對此並不同意。但事件核心確實是 API KEY 洩露。由於數據都掌握在 3Commas 與 FTX 內部,披露的信息目前也非常稀少,所以真相究竟如何,外界可能也無法完全了解。總而言之,對 API KEY 的授權與管理需要更加謹慎。
24日晚,據 @xexploreeth 最新研究,因為 API KEY 洩露,除了 FTX 用戶因為對敲遭到數百萬美金的損失,Binance US 和 Bittrex 的交易所也遭到類似的攻擊,使用的小幣種分別為 SYS/USD 與 NXT/BTC,損失分別達到 1053 ETH 和 301 ETH。FTX 的 DMG/USD 當攻擊發生時,交易量增加千倍幣價波動2-3倍,屬於重大異常交易事件,但 FTX 並沒有即時阻止,問題後續持續多次發生,因此也需要承擔一定的責任(SBF 也及時補償了用戶損失),其他交易所也應該對此多加關注。