发帖
雷达卡
10 月 20 日,3Commas 团队接到警报,发生一起事件,其中一些合作伙伴交换 API 密钥连接到 3Commas,并用于在合作伙伴账户上对 DMG 加密货币交易对进行未经授权的交易。在 3Commas 和我们的合作伙伴交易所进行的合作调查中,发现许多 API KEY 与新的 3Commas 帐户相关联,这些帐户首次创建并用于在合作伙伴交易所对 DMG 交易对执行未经授权的交易。API 密钥不是从 3Commas 获取的,而是从 3Commas 平台外部获取的。
几个假冒的 3Commas 网站通过复制 3Commas 网络界面的设计并从 3Commas 用户那里捕获 API 密钥来“钓鱼”3Commas 用户,这些用户不小心使用假冒网站尝试连接他们的交易账户。API 密钥随后由虚假网站存储,随后用于在合作伙伴交易所的 DMG 交易对上进行未经授权的交易。由于攻击的规模和复杂性,我们还怀疑可能还使用了 3rd 方浏览器扩展或恶意软件。作为预防措施,合作伙伴交易所和 3Commas 已识别出可能存在可疑活动的帐户,并禁用了可能已泄露的 API 密钥。
然而在公告发布后,更多的受害者开始出现。
一名来自巴拉圭的受害者在攻击中损失了近 104 比特币,他强调FTX 自 10 月 19 日以来就知道该漏洞,两天后遭到了攻击!3Commas 说是网络钓鱼攻击,但他从未使用 3Commas 帐户来设置机器人,而且该帐户甚至已过期并已降级为免费帐户。另一名来自中国的量化交易的受害者也表示,从未使用过 3Commas。在他的截图中,19、20、21日均发生了关于 DMG 的对敲盗币,但 FTX 竟然没有对此做预防措施。
随着舆论发酵,10月24日 FTX 终于回应,表示将赔偿600万美金,但 “这是一次性的事件,我们不会养成补偿被其他公司的假冒版本钓鱼使用的习惯”。目前用户已经收到了赔偿的金额。FTX 对敲盗币事件攻击者已将所获取利润转移至 Binance 和 FixedFloat 交易所。
目前来看,FTX 与 3Commas 都坚称是用户登陆了虚假钓鱼网站而泄露了 API KEY。受害者当然对此并不同意。但事件核心确实是 API KEY 泄露。由于数据都掌握在 3Commas 与 FTX 内部,披露的信息目前也非常稀少,所以真相究竟如何,外界可能也无法完全了解。总而言之,对 API KEY 的授权与管理需要更加谨慎。24日晚,因为 API KEY 泄露,除了 FTX 用户因为对敲遭到数百万美金的损失,Binance US 和 Bittrex 的交易所也遭到类似的攻击,使用的小币种分别为 SYS/USD 与 NXT/BTC,损失分别达到 1053 ETH 和 301 ETH。FTX 的 DMG/USD 当攻击发生时,交易量增加千倍币价波动2–3倍,属于重大异常交易事件,但 FTX 并没有即时阻止,问题后续持续多次发生,因此也需要承担一定的责任。
京公网安备 11010802022788号
