FTX用戶歸零事件》3 Commas API KEY 洩漏:駭客釣魚、對敲盜幣全過程

FTX日前爆出有用戶 API Key 外洩事件,造成資金被對敲攻擊清空,本文純以紀錄整理事件過程,提醒使用 API Key 的用戶們做好風險分級、定期更換以策資金安全。
(前情提要:FTX歸零事件》SBF:提供 “600萬美元” 一次性補償!3Commas : 疑為API釣魚

 

10 月 21 日,一名杭州用戶向吳說爆料:他的 FTX 帳戶在19日晚突然「瘋狂」地進行交易達5000多次,帳戶資產160萬美金接近歸零,包括10幾個 BTC、上百個 ETH 以及幾千個 FTT 等,全部通過交易小幣 DMG 對敲盜走。用戶1年前開始使用量化機器人3Commas,FTX 的 API 不需要更新,所以從來沒動過也沒保存過API。

FTX 回覆是由於有能夠訪問 API KEY 的人通過 REST API 完成,可能是洩露了用戶 API KEY。FTX 表示需要拿到立案通知書才能配合相關例如凍結等工作,但在用戶提交報案回執後暫無回复。3Commas 則表示沒有發生任何的洩露。

值得注意的是,FTX 客服在最初回覆中表示,「受影響的並非只有你」,可隨後FTX 客服就不再聯繫,並且表示這是個誤會。

問題來到了 3Commas 這邊,它在吳說報導後連忙回應稱:目前,3Commas 將此事視為重中之重。我們在登錄時使用 2FA 和 OTP 等具有最高安全性,以確保用戶帳戶始終安全。我們與用戶保持聯繫,以確保他們獲得所需的所有支援。

隨後 3Commas 發布了一個公告:

來源:https://3commas.io/blog/3commas-security-update-october-20

然而在公告發布後,更多的受害者開始出現。

一名來自巴拉圭的受害者告訴吳說:他在攻擊中損失了近 104 枚比特幣,他強調FTX 自10 月19 日以來就知道該漏洞,兩天後我遭到了攻擊!

3Commas 說是網路釣魚攻擊,但我從未使用我的 3Commas 帳戶來設置機器人,而且該帳戶甚至已過期並已降級為免費帳戶。我已經有一年多沒有進入該帳戶,我從未將密鑰或API 密鑰保存到任何文檔中,但僅在一年多前使用它來建立 FTX 連接。我也是一名 IT 工程師,我的筆記本電腦和智能手機由 Norton 360 和其他積極防止任何網路釣魚或病毒攻擊的機制保護。

另一名來自中國的量化交易的受害者也表示,從未使用過 3Commas。在他的截圖中,19、20、21日均發生了關於 DMG 的對敲盜幣,但 FTX 竟然沒有對此做預防措施。

隨著輿論發酵,10 月 24日 SBF 終於回應,表示將賠償 600 萬美金,但「這是一次性的事件,我們不會養成補償被其他公司的假冒版本釣魚使用的習慣」。目前用戶已經收到了賠償的金額。FTX 對敲盜幣事件攻擊者已將所獲取利潤轉移至 Binance 和 FixedFloat 交易所。SBF 表示若攻擊者在 24 小時內歸還 95% 的被盜資金,則免除其法律責任。

目前來看,FTX 與 3Commas 都堅稱是用戶登陸了虛假釣魚網站而洩露了 API KEY。受害者當然對此並不同意。但事件核心確實是 API KEY 洩露。由於數據都掌握在 3Commas 與 FTX 內部,披露的資訊目前也非常稀少,所以真相究竟如何,外界可能也無法完全了解。總而言之,對 API KEY 的授權與管理需要更加謹慎。

24日晚,據 x_explore_eth 最新研究,因為 API KEY 洩露,除了 FTX 用戶因為對敲遭到數百萬美金的損失,Binance US 和 Bittrex 的交易所也遭到類似的攻擊,使用的小幣種分別為 SYS/USD 與 NXT/BTC,損失分別達到1053 ETH 和 301 ETH。

📍相關報導📍

文章来源于互联网:FTX用戶歸零事件》3 Commas API KEY 洩漏:駭客釣魚、對敲盜幣全過程

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Previous post CFTC官員:加密貨幣風險巨大可比「2008年金融海嘯」,向國會多討監管權
Next post BitMEX 創辦人 :「香港」是讓中國重新擁抱加密貨幣、開啟牛市的關鍵