A rapport conjoint par X-explore et WuBlockchain a révélé que la récente API attaque de robot sur FTX et 3Commas avaient des implications plus importantes que prévu.
L'attaque contre FTX, qui s'est produite le 21 octobre, a utilisé la technologie 3Commas et une escroquerie par hameçonnage pour prendre le contrôle des clés API de plusieurs utilisateurs.
Exploits d'arnaque API Key Phishing
Une fois les clés obtenues, il était alors possible pour l'attaquant d'exploiter des paires de trading spécifiques pour voler des fonds. FTX a publié un déclaration proposant de rembourser les utilisateurs concernés comme une "chose unique", selon le PDG Sam Bankman-Fried. Cependant, selon un rapport, il a été découvert que l'exploit avait été mis en pratique sur les bourses Binance US et Bittrex.
"X-explore a découvert que les attaquants du vol d'API FTX & 3commas ont également attaqué Binance US ainsi que Bittrex échanges, vol 1053ETH ainsi que 301ETH respectivement. Maintenant, l'attaque contre Bittrex est toujours en cours."
Comment l'exploit fonctionne en pratique
L'exploit en question utilisait des paires de trading à faible volume pour contre-échanger contre le compte compromis à partir duquel la clé API a été volée.
Une clé API volée ne permettra souvent pas à un utilisateur de retirer des fonds du compte, mais permettra à une attaque de négocier en son nom. Dans de rares situations où un utilisateur a laissé les autorisations de l'API entièrement ouvertes, un attaquant peut être en mesure de retirer des fonds. Cependant, si cela avait été le cas, la responsabilité incomberait probablement simplement à l'utilisateur qui a configuré sa clé API sans mesures de sécurité de base.
En ce qui concerne cet exploit en cours, l'attaquant n'a pas retiré de fonds directement, mais a plutôt utilisé une paire de trading à faible volume pour siphonner de l'argent sur son compte à l'aide d'un livre de vente avec peu de commandes. Lorsqu'un carnet d'ordres a peu d'entrées, il est possible de manipuler le prix de l'attaque pour acquérir des jetons à un taux inférieur à la valeur marchande avant de les échanger contre une autre crypto-monnaie.
L'attaquant perdra des fonds à cause des frais et d'autres commerçants légitimes, mais comme il négocie avec la crypto de quelqu'un d'autre, ce n'est probablement pas une préoccupation importante.
Échanges également affectés
Le rapport de X-explore et WuBlockchain indique que 1053ETH ont été volés à Binance US entre le 13 et le 17 octobre. Le rapport note également que l'attaquant a probablement utilisé la paire de trading SYS-USD, qui a un volume de trading moyen de seulement 2 millions de dollars.
Une attaque similaire s'est produite sur Bittrex, où un total de 301ETH a été volé entre le 23 et le 24 octobre. Le rapport a fait valoir que la cible probable était la paire de trading NXT-BTC qui a exceptionnellement le deuxième plus grand volume de trading au comptant sur Bittrex. Dans les jours qui ont précédé l'exploit, le volume NXT-BTC était beaucoup plus faible et a donc été jugé suspect.
X-explore les commentaires sur les événements
Dans le résumé du rapport, X-explore a déclaré que l'analyse a révélé une "nouvelle façon de voler" dans l'espace crypto. Il a mis en évidence trois domaines clés qui devraient être examinés pour réduire la probabilité d'un exploit similaire à l'avenir. La sécurité de base, la sécurité des jetons ponctuels et la sécurité des transactions ont été désignées comme des domaines à traiter.
En ce qui concerne la sécurité de base, X-explore a affirmé que les échanges doivent "concevoir une logique de produit plus sécurisée pour garantir que les attaques de phishing ne nuisent pas aux utilisateurs". Cependant, étant donné que les utilisateurs avaient apparemment au moins le niveau de sécurité de base sur leurs clés API (aucun fonds n'aurait été directement retiré), il est difficile d'établir ce qui pourrait être fait d'autre ici.
Pour que les clés API fonctionnent comme prévu sur des systèmes tels que 3commas, il ne peut pas y avoir d'intervention humaine supplémentaire pour chaque transaction. 3commas permet aux utilisateurs de profiter de stratégies de trading automatique à haute fréquence, qui, une fois mises en place, s'exécutent automatiquement en fonction d'un ensemble de critères définis. Par conséquent, la solution pour améliorer la sécurité sera difficile pour les échanges sur ce front.
Cependant, combattre et traiter les attaques de phishing en tant que vecteur d'attaque à part entière est quelque chose que les échanges peuvent examiner. Certains déploient des codes secrets qu'un utilisateur peut vérifier pour s'assurer que le message est authentique. À moins qu'un compte d'échange ne soit également piraté, les utilisateurs peuvent ignorer et signaler les e-mails qui ne contiennent pas leur code secret.
Le faible volume de certaines paires de trading au comptant est sûrement une vulnérabilité qui devra peut-être être corrigée, car X-explore a estimé que le marché baissier actuel avait ouvert ce vecteur d'attaque.
«Afin de fournir aux utilisateurs plus d'options de trading, les principales bourses ont lancé un grand nombre de jetons. Après que la popularité de certains jetons sur le marché soit passée, le volume des échanges a fortement chuté, mais les bourses ne les ont pas retirés de la liste.
Le dernier point de X-explore dans le rapport est lié à la sécurité des transactions. X-explore a souligné que la paire de trading exploitée sur FTX a vu "le volume des transactions multiplié par mille". il n'a cependant donné aucune recommandation quant à une action potentielle à entreprendre lorsque des volumes anormalement élevés sont enregistrés.
Source : https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/