A संयुक्त रिपोर्ट द्वारा एक्स-एक्सप्लोर और वूब्लॉकचैन ने खुलासा किया है कि हालिया एपीआई बॉट हमला FTX और 3Commas पर पहले विश्वास की तुलना में अधिक प्रभाव पड़ा।
एफटीएक्स पर हमला, जो 21 अक्टूबर को हुआ, ने 3Commas तकनीक और एक फ़िशिंग घोटाले का उपयोग कई उपयोगकर्ताओं की API कुंजियों को नियंत्रित करने के लिए किया।
एपीआई कुंजी फ़िशिंग घोटाला शोषण करता है
एक बार चाबियां प्राप्त हो जाने के बाद, हमलावर के लिए धन की चोरी करने के लिए विशिष्ट व्यापारिक जोड़े का फायदा उठाना संभव था। एफटीएक्स जारी किया गया कथन सीईओ सैम बैंकमैन-फ्राइड के अनुसार प्रभावित उपयोगकर्ताओं को "एक बार की चीज़" के रूप में वापस करने की पेशकश। हालांकि, एक रिपोर्ट के अनुसार, यह पता चला है कि इस कारनामे को बिनेंस यूएस और बिट्ट्रेक्स दोनों एक्सचेंजों पर लागू किया गया है।
"एक्स-एक्सप्लोर ने पाया कि एफटीएक्स और 3कॉमास एपीआई चोरी में हमलावरों ने भी हमला किया बायनेन्स यू.एस. और Bittrex एक्सचेंज, चोरी 1053ETH और 301ETH क्रमश। वर्तमान में, बिट्ट्रेक्स पर हमला अभी भी जारी है।"
व्यवहार में शोषण कैसे काम करता है
विचाराधीन शोषण ने कम मात्रा वाले व्यापारिक जोड़े का इस्तेमाल समझौता किए गए खाते के खिलाफ व्यापार करने के लिए किया, जिससे एपीआई कुंजी चोरी हो गई थी।
चोरी की गई एपीआई कुंजी अक्सर उपयोगकर्ता को खाते से धन निकालने की अनुमति नहीं देती है, लेकिन हमले को उनकी ओर से व्यापार करने की अनुमति देती है। दुर्लभ परिस्थितियों में जहां उपयोगकर्ता ने एपीआई अनुमतियों को पूरी तरह से खुला छोड़ दिया है, एक हमलावर धन निकालने में सक्षम हो सकता है। हालांकि, क्या ऐसा होना चाहिए था, जिम्मेदारी केवल उस उपयोगकर्ता पर होगी जो बुनियादी सुरक्षा उपायों के बिना अपनी एपीआई कुंजी स्थापित करता है।
इस चल रहे शोषण के संबंध में, हमलावर ने सीधे धन वापस नहीं लिया है, बल्कि कुछ ऑर्डर के साथ बिक्री बुक का उपयोग करके अपने खाते में पैसे निकालने के लिए कम मात्रा वाले व्यापारिक जोड़े का उपयोग किया है। जहां एक ऑर्डर बुक में कुछ प्रविष्टियां होती हैं, हमले के लिए कीमत में हेरफेर करना संभव है ताकि टोकन को किसी अन्य क्रिप्टोकुरेंसी के लिए एक्सचेंज करने से पहले बाजार मूल्य से कम दर पर प्राप्त किया जा सके।
हमलावर फीस और अन्य वैध व्यापारियों के लिए धन खो देंगे, लेकिन जैसा कि वे किसी और के क्रिप्टो के साथ व्यापार कर रहे हैं, यह एक महत्वपूर्ण चिंता का विषय नहीं है।
इसके अतिरिक्त प्रभावित एक्सचेंज
एक्स-एक्सप्लोर और वूब्लॉकचैन की रिपोर्ट में कहा गया है कि 1053 अक्टूबर और 13 अक्टूबर के बीच बिनेंस यूएस से 17ETH चोरी हो गया था। रिपोर्ट में यह भी कहा गया है कि हमलावर ने एसवाईएस-यूएसडी ट्रेडिंग जोड़ी का इस्तेमाल किया था, जिसकी औसत ट्रेडिंग वॉल्यूम सिर्फ $ 2 मिलियन है।
बिट्ट्रेक्स पर भी इसी तरह का हमला हुआ, जहां 301 अक्टूबर और 23 अक्टूबर के बीच कुल 24ETH चोरी हो गए। रिपोर्ट में तर्क दिया गया कि संभावित लक्ष्य NXT-BTC ट्रेडिंग जोड़ी थी, जिसमें असामान्य रूप से बिट्ट्रेक्स पर दूसरा सबसे बड़ा स्पॉट ट्रेडिंग वॉल्यूम है। शोषण से पहले के दिनों में, NXT-BTC की मात्रा बहुत कम थी और इसलिए इसे संदिग्ध माना जाता था।
घटनाओं पर एक्स-एक्सप्लोर टिप्पणियां
रिपोर्ट के सारांश में, एक्स-एक्सप्लोर ने कहा कि विश्लेषण से क्रिप्टो स्पेस के भीतर "चोरी का एक नया तरीका" सामने आया। इसने तीन प्रमुख क्षेत्रों पर प्रकाश डाला, जिनकी भविष्य में इसी तरह के शोषण की संभावना को कम करने के लिए समीक्षा की जानी चाहिए। बुनियादी सुरक्षा, स्पॉट टोकन सुरक्षा और लेन-देन सुरक्षा को संबोधित किए जाने वाले क्षेत्रों के रूप में चुना गया था।
बुनियादी सुरक्षा के बारे में, एक्स-एक्सप्लोर ने दावा किया कि एक्सचेंजों को "यह सुनिश्चित करने के लिए अधिक सुरक्षित उत्पाद तर्क तैयार करना चाहिए कि फ़िशिंग हमले उपयोगकर्ताओं को नुकसान नहीं पहुंचाते हैं।" हालांकि, यह देखते हुए कि उपयोगकर्ताओं के पास अपनी एपीआई कुंजियों पर कम से कम सुरक्षा का आधार स्तर था (कोई धन सीधे वापस लेने की सूचना नहीं थी), यह स्थापित करना कठिन है कि यहां और क्या किया जा सकता है।
एपीआई कुंजी के लिए 3commas जैसे सिस्टम पर काम करने के लिए, प्रत्येक व्यापार के लिए अतिरिक्त मानवीय हस्तक्षेप नहीं हो सकता है। 3commas उपयोगकर्ताओं को उच्च आवृत्ति के साथ स्वचालित ट्रेडिंग रणनीतियों का लाभ उठाने की अनुमति देता है, जो एक बार सेट हो जाने पर, परिभाषित मानदंडों के एक सेट के आधार पर स्वचालित रूप से चलती हैं। इसलिए, सुरक्षा में सुधार का समाधान इस मोर्चे पर एक्सचेंजों के लिए चुनौतीपूर्ण होगा।
हालांकि, अपने आप में एक अटैक वेक्टर के रूप में फ़िशिंग हमलों से लड़ना और निपटना कुछ ऐसा है जिसकी एक्सचेंज समीक्षा कर सकते हैं। कुछ गुप्त कोड तैनात करते हैं जिन्हें उपयोगकर्ता यह सुनिश्चित करने के लिए जांच सकता है कि संदेश वास्तविक है। जब तक किसी एक्सचेंज खाते को भी हाईजैक नहीं किया जाता है, उपयोगकर्ता उन ईमेल को अनदेखा कर सकते हैं और रिपोर्ट कर सकते हैं जिनमें उनका गुप्त कोड नहीं है।
कुछ स्पॉट ट्रेडिंग जोड़े की कम मात्रा निश्चित रूप से एक भेद्यता है जिसे संबोधित करने की आवश्यकता हो सकती है, क्योंकि एक्स-एक्सप्लोर ने तर्क दिया कि वर्तमान भालू बाजार ने इस हमले वेक्टर को खोल दिया था।
"उपयोगकर्ताओं को अधिक ट्रेडिंग विकल्प प्रदान करने के लिए, शीर्ष एक्सचेंजों ने बड़ी संख्या में टोकन लॉन्च किए हैं। कुछ टोकन की बाजार में लोकप्रियता के बाद, ट्रेडिंग वॉल्यूम में तेजी से गिरावट आई, लेकिन एक्सचेंजों ने उन्हें डीलिस्ट नहीं किया।"
रिपोर्ट में एक्स-एक्सप्लोर से अंतिम बिंदु लेनदेन सुरक्षा से संबंधित है। एक्स-एक्सप्लोर ने इस बात पर प्रकाश डाला कि एफटीएक्स पर शोषित व्यापारिक जोड़ी ने देखा कि "लेन-देन की मात्रा एक हजार गुना बढ़ जाती है।" हालांकि, असामान्य रूप से उच्च मात्रा दर्ज किए जाने पर संभावित कार्रवाई के लिए इसने कोई सिफारिश नहीं की।
स्रोत: https://cryptoslate.com/on-chain-data-reveals-binance-us-bittrex-also-targeted-by-api-attack-used-on-ftx/