资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
X-explore与WuBlockchain联合报告揭示APIbot攻击影响深远
X-explore与WuBlockchain的联合报告显示,近期针对FTX和3Commas的APIbot攻击影响范围远超最初预期。10月21日发生的FTX攻击利用了3Commas技术及钓鱼欺诈手段,成功控制了多名用户的API密钥。获取密钥后,攻击者得以通过特定交易对进行资金盗取。FTX首席执行官Sam Bankman-Fried发表声明,表示将"一次性"对受影响用户进行赔偿。然而,报告指出,该漏洞已被发现在Binance US和Bittrex交易所同样存在。
攻击手法及影响
X-explore发现,攻击者不仅针对FTX和3commas进行API窃取,还攻击了Binance US和Bittrex交易所,分别盗取了1053ETH和301ETH。目前,针对Bittrex的攻击仍在进行中。
该漏洞利用低交易量交易对,与API密钥被盗账户进行反向交易。被盗的API密钥通常不会让用户从账户中提取资金,但会允许攻击者代其进行交易。在极少数情况下,如果用户完全开放API权限,攻击者可能能够提取资金。然而,若发生这种情况,责任很可能完全在于未采取基本安全措施设置API密钥的用户。
在此次持续性攻击中,攻击者并未直接提取资金,而是利用订单稀少的低交易量交易对,将资金转移至自己的账户。当订单簿中条目较少时,攻击者可以操控价格,以低于市场价值获取代币,然后再兑换成其他加密货币。
虽然攻击者会因为手续费和其他合法交易者而损失部分资金,但由于他们使用的是他人的加密货币,这可能并非重大顾虑。
具体案例分析
X-explore与WuBlockchain的报告指出,10月13日至17日期间,Binance US被盗1053ETH。报告推测攻击者可能使用了SYS-USD交易对,该交易对平均交易量仅为200万美元。
Bittrex也遭受了类似攻击,10月23日至24日期间共被盗301ETH。报告认为,攻击目标可能是NXT-BTC交易对,该交易对在Bittrex上异常地拥有第二大现货交易量。在攻击发生前的几天,NXT-BTC的交易量显著降低,因此被认为可疑。
安全建议
在报告总结中,X-explore表示分析揭示了加密领域中的"新型盗窃方式"。报告强调了三个需要改进的关键领域,以降低未来发生类似漏洞的可能性:基础安全、现货代币安全和交易安全。
关于基础安全,X-explore声称交易所必须"设计更安全的产品逻辑,确保钓鱼攻击不会损害用户"。然而,考虑到用户似乎至少在其API密钥上设置了基本安全级别(据报道没有资金被直接提取),很难确定还能采取哪些额外措施。
为了API密钥在3commas等系统上按预期工作,每笔交易不能有额外的人工干预。3commas允许用户利用高频自动交易策略,这些策略一旦设置,就会基于一系列定义的标准自动运行。因此,在这方面提高安全性的解决方案对交易所来说将具有挑战性。
然而,交易所可以审查并应对钓鱼攻击作为独立攻击载体的问题。一些交易所部署了用户可检查的秘密代码,以确保信息的真实性。除非交易所账户也被劫持,否则用户可以忽略并报告不包含其秘密代码的电子邮件。
某些现货交易对的低交易量无疑是需要解决的漏洞,X-explore认为当前的熊市已经开启了这一攻击路径。"为了为用户提供更多交易选择,顶级交易所推出了大量代币。在某些代币的市场热度过去后,交易量急剧下降,但交易所并未将其下架。"
报告中X-explore的最后一个观点与交易安全相关。X-explore强调,FTX上被利用的交易对"交易量增长了数千倍"。然而,对于记录到异常高交易量时应采取什么潜在行动,报告并未给出建议。
