X-explore e WuBlockchain hanno identificato un nuovo vettore di attacco guidato dal basso volume spot sugli exchange di criptovalute che potrebbe coinvolgere Binance e Bittrex, dopo quanto accaduto ad FTX.
Secondo un rapporto congiunto di X-explore e WuBlockchain, il recente attacco bot API su FTX e 3Commas ha avuto ripercussioni più ampie di quanto inizialmente pensato.
La truffa di phishing e la tecnologia 3Commas sono state utilizzate nell’attacco del 21 ottobre a FTX per prendere il controllo di un certo numero di chiavi API di utenti.
Exploit per truffe API Key Phishing
L’attaccante potrebbe quindi utilizzare determinate coppie di scambio a proprio vantaggio una volta venuto in possesso delle chiavi API degli utenti. Secondo il CEO Sam Bankman-Fried, FTX ha rilasciato una dichiarazione offrendo di rimborsare gli utenti interessati come “cosa una tantum”. Tuttavia, un rapporto afferma che l’exploit ha interessato anche gli exchange Bittrex e Binance US.
“X-explore ha scoperto che i ladri che hanno preso di mira l’API FTX&3commas hanno preso di mira anche gli exchange Bittrex e Binance US, prendendo rispettivamente 1053ETH e 301ETH.
Come funziona l’exploit
L’exploit in questione ha contrastato l’account compromesso da cui è trapelata la chiave API utilizzando coppie di trading a basso volume.
La capacità di un utente di prelevare denaro dal proprio account è spesso bloccata da una chiave API rubata, ma un attacco può comunque fare trading per suo conto. Un utente può occasionalmente lasciare le autorizzazioni API completamente aperte, nel qual caso un utente malintenzionato potrebbe essere in grado di prelevare denaro. Se ciò fosse accaduto, l’utente che ha impostato la propria chiave API senza prendere nemmeno le precauzioni di sicurezza più elementari sarebbe probabilmente l’unico responsabile.
Per quanto riguarda questo exploit in corso, l’attaccante non ha prelevato direttamente denaro; invece, hanno utilizzato una coppia di trading a basso volume e un libro di vendita con pochi ordini per prelevare denaro sul proprio conto. Con questo sistema è possibile manipolare il prezzo per acquistare token a un prezzo inferiore al valore di mercato prima di scambiarli con un’altra criptovaluta quando un portafoglio ordini ha poche voci.
Commento agli eventi di X-explore
X-explore ha affermato che l’analisi ha rivelato una “nuova tecnica di furto” nello spazio crittografico nel riepilogo del rapporto. Per ridurre la possibilità di un altro simile exploit in futuro, ha identificato tre aree cruciali che devono essere riviste. Le aree da affrontare includono la sicurezza delle transazioni, la sicurezza dei token spot e la sicurezza di base.
Secondo X-explore, gli exchange devono “progettare una logica di prodotto più sicura per garantire che gli attacchi di phishing non danneggino gli utenti” in termini di sicurezza fondamentale. È difficile determinare cos’altro si possa fare in questo caso. Tuttavia, dato che le chiavi API degli utenti sembravano avere almeno il minimo indispensabile di sicurezza, secondo quanto riferito, nessun denaro è stato prelevato in una transazione diretta.
Non può esserci un intervento umano aggiuntivo per ogni scambio affinché le chiavi API funzionino come previsto su piattaforme come 3commas. Gli utenti di 3commas possono beneficiare di strategie di trading automatico ad alta frequenza. Queste, una volta impostate, operano automaticamente in base a una serie predeterminata di criteri. Pertanto, trovare un modo per aumentare la sicurezza sarà difficile per gli exchange su questo fronte.