FTX日前爆出有用戶 API Key 外洩事件,造成資金被對敲攻擊清空,本文純以紀錄整理事件過程,提醒使用 API Key 的用戶們做好風險分級、定期更換以策資金安全。
(前情提要:FTX歸零事件》SBF:提供 “600萬美元” 一次性補償!3Commas : 疑為API釣魚 )
在 10 月 21 日,一名杭州用戶向吳說爆料:他的 FTX 帳戶在19日晚突然「瘋狂」地進行交易達5000多次,帳戶資產160萬美金接近歸零,包括10幾個 BTC、上百個 ETH 以及幾千個 FTT 等,全部通過交易小幣 DMG 對敲盜走。用戶1年前開始使用量化機器人3Commas,FTX 的 API 不需要更新,所以從來沒動過也沒保存過API。
FTX 回覆是由於有能夠訪問 API KEY 的人通過 REST API 完成,可能是洩露了用戶 API KEY。FTX 表示需要拿到立案通知書才能配合相關例如凍結等工作,但在用戶提交報案回執後暫無回复。3Commas 則表示沒有發生任何的洩露。
值得注意的是,FTX 客服在最初回覆中表示,「受影響的並非只有你」,可隨後FTX 客服就不再聯繫,並且表示這是個誤會。
問題來到了 3Commas 這邊,它在吳說報導後連忙回應稱:目前,3Commas 將此事視為重中之重。我們在登錄時使用 2FA 和 OTP 等具有最高安全性,以確保用戶帳戶始終安全。我們與用戶保持聯繫,以確保他們獲得所需的所有支援。
隨後 3Commas 發布了一個公告:
10 月20 日,3Commas 團隊接到警報,發生一起事件,其中一些合作夥伴交換 API 密鑰連接到 3Commas,並用於在合作夥伴帳戶上對 DMG 加密貨幣交易對進行未經授權的交易。
在 3Commas 和我們的合作夥伴交易所進行的合作調查中,發現許多 API KEY 與新的 3Commas 帳戶相關聯,這些帳戶首次創建並用於在合作夥伴交易所對 DMG 交易對執行未經授權的交易。API 密鑰不是從 3Commas 獲取的,而是從 3Commas 平台外部獲取的。
我們擴大了調查範圍,發現了幾個假冒的 3Commas 網站,這些網站通過複製 3Commas 網路介面的設計並從3Commas 用戶那裡捕獲API 密鑰來「釣魚」3Commas 用戶,這些用戶不小心使用假冒網站嘗試連接他們的交易帳戶.
API 密鑰隨後由虛假網站儲存,隨後用於在合作夥伴交易所的 DMG 交易對上進行未經授權的交易。由於攻擊的規模和複雜性,我們還懷疑可能還使用了 3rd 方瀏覽器擴展或惡意軟體。作為預防措施,合作夥伴交易所和3Commas 已識別出可能存在可疑活動的帳戶,並禁用了可能已洩露的 API 密鑰。
如果您有一個連接到 3Commas 的交易所帳戶,並且顯示API「無效」或「需要更新」,那麼您的 API 詳細資訊可能已被洩露,並且 API 密鑰已被合作夥伴交易所刪除。我們敦促您在該交易所創建新的 API 密鑰。
來源:https://3commas.io/blog/3commas-security-update-october-20
然而在公告發布後,更多的受害者開始出現。
一名來自巴拉圭的受害者告訴吳說:他在攻擊中損失了近 104 枚比特幣,他強調FTX 自10 月19 日以來就知道該漏洞,兩天後我遭到了攻擊!
3Commas 說是網路釣魚攻擊,但我從未使用我的 3Commas 帳戶來設置機器人,而且該帳戶甚至已過期並已降級為免費帳戶。我已經有一年多沒有進入該帳戶,我從未將密鑰或API 密鑰保存到任何文檔中,但僅在一年多前使用它來建立 FTX 連接。我也是一名 IT 工程師,我的筆記本電腦和智能手機由 Norton 360 和其他積極防止任何網路釣魚或病毒攻擊的機制保護。
另一名來自中國的量化交易的受害者也表示,從未使用過 3Commas。在他的截圖中,19、20、21日均發生了關於 DMG 的對敲盜幣,但 FTX 竟然沒有對此做預防措施。
隨著輿論發酵,10 月 24日 SBF 終於回應,表示將賠償 600 萬美金,但「這是一次性的事件,我們不會養成補償被其他公司的假冒版本釣魚使用的習慣」。目前用戶已經收到了賠償的金額。FTX 對敲盜幣事件攻擊者已將所獲取利潤轉移至 Binance 和 FixedFloat 交易所。SBF 表示若攻擊者在 24 小時內歸還 95% 的被盜資金,則免除其法律責任。
目前來看,FTX 與 3Commas 都堅稱是用戶登陸了虛假釣魚網站而洩露了 API KEY。受害者當然對此並不同意。但事件核心確實是 API KEY 洩露。由於數據都掌握在 3Commas 與 FTX 內部,披露的資訊目前也非常稀少,所以真相究竟如何,外界可能也無法完全了解。總而言之,對 API KEY 的授權與管理需要更加謹慎。
24日晚,據 x_explore_eth 最新研究,因為 API KEY 洩露,除了 FTX 用戶因為對敲遭到數百萬美金的損失,Binance US 和 Bittrex 的交易所也遭到類似的攻擊,使用的小幣種分別為 SYS/USD 與 NXT/BTC,損失分別達到1053 ETH 和 301 ETH。
FTX 的 DMG/USD 當攻擊發生時,交易量增加千倍幣價波動 2-3 倍,屬於重大異常交易事件,但 FTX 並沒有即時阻止,問題後續持續多次發生,因此也需要承擔一定的責任(SBF 也及時補償了用戶損失),其他交易所也應該對此多加關注。
📍相關報導📍
FTX歸零事件》SBF:提供 “600萬美元” 一次性補償!3Commas : 疑為API釣魚
一用戶FTX API Key洩露,遭對敲交易160萬鎂歸零!DMG遭連累4次暴漲暴跌500%
160萬鎂歸零的用戶控:FTX臃腫大公司病的態度,要我先報案!專家:交易所有難言之隱
