Un informe conjunto de X-explore y WuBlockchain ha revelado que el reciente ataque de bots de API en FTX y 3Commas tuvo implicaciones de mayor alcance de lo que se creía en un principio.
El ataque a FTX, que ocurrió el 21 de octubre, utilizó la tecnología 3Commas y una estafa de phishing para tomar el control de las claves API de varios usuarios.
Explotaciones de estafa de phishing de clave API
Una vez que se obtuvieron las claves, el atacante pudo explotar pares comerciales específicos para robar fondos. FTX emitió un comunicado en el que ofrece reembolsar a los usuarios afectados como una “cosa única”, según el director ejecutivo Sam Bankman-Fried. Sin embargo, según un informe, se descubrió que el exploit se puso en práctica tanto en los intercambios de Binance US como en Bittrex.
“X-explore encontró que los atacantes en el robo de la API de FTX y 3commas también atacaron Binance EE. UU. y Bittrex intercambios, robo 1053ETH y 301ETH respectivamente. Actualmente, el ataque a Bittrex todavía está en progreso.“
Cómo funciona el exploit en la práctica
El exploit en cuestión utilizó pares comerciales de bajo volumen para contrarrestar el comercio contra la cuenta comprometida de la que se robó la clave API.
Una clave API robada a menudo no permitirá que un usuario retire fondos de la cuenta, pero permitirá un ataque para comerciar en su nombre. En situaciones excepcionales en las que un usuario ha dejado completamente abiertos los permisos de la API, un atacante puede retirar fondos. Sin embargo, si este hubiera sido el caso, la responsabilidad probablemente recaería simplemente en el usuario que configuró su clave API sin medidas de seguridad básicas.
Con respecto a este exploit en curso, el atacante no retiró los fondos directamente, sino que utilizó un par comercial de bajo volumen para desviar dinero a su cuenta utilizando un libro de ventas con pocos pedidos. Cuando un libro de pedidos tiene pocas entradas, es posible manipular el precio del ataque para adquirir tokens a una tasa por debajo del valor de mercado antes de cambiarlos por otra criptomoneda.
El atacante perderá fondos por las tarifas y otros comerciantes legítimos, pero como están comerciando con la criptografía de otra persona, es probable que esto no sea una preocupación importante.
Exchanges afectados adicionalmente
El informe de X-explore y WuBlockchain indicó que 1053ETH fue robado de Binance US entre el 13 y el 17 de octubre. El informe también señaló que el atacante probablemente usó el par comercial SYS-USD, que tiene un volumen comercial promedio de solo $ 2 millones.
Un ataque similar ocurrió en Bittrex, donde se robó un total de 301ETH entre el 23 y el 24 de octubre. El informe argumentaba que el objetivo probable era el par comercial NXT-BTC, que inusualmente tiene el segundo mayor volumen comercial al contado en Bittrex. En los días previos al exploit, el volumen de NXT-BTC era mucho más bajo y, por lo tanto, se consideró sospechoso.
X-explore comentarios sobre los eventos
En el resumen del informe, X-explore declaró que el análisis reveló una “nueva forma de robo” dentro del espacio criptográfico. Resaltó tres áreas clave que deben revisarse para reducir la probabilidad de una explotación similar en el futuro. La seguridad básica, la seguridad de los tokens al contado y la seguridad de las transacciones se destacaron como áreas a abordar.
Con respecto a la seguridad básica, X-explore afirmó que los intercambios deben “diseñar una lógica de producto más segura para garantizar que los ataques de phishing no dañen a los usuarios”. Sin embargo, dado que los usuarios aparentemente tenían al menos el nivel básico de seguridad en sus claves API (no se informó que los fondos se retiraron directamente), es difícil establecer qué más se podría hacer aquí.
Para que las claves API funcionen según lo previsto en sistemas como 3commas, no puede haber una intervención humana adicional para cada transacción. 3commas permite a los usuarios aprovechar estrategias comerciales automáticas con una alta frecuencia que, una vez configuradas, se ejecutan automáticamente en función de un conjunto de criterios definidos. Por lo tanto, la solución para mejorar la seguridad será un desafío para los intercambios en este frente.
Sin embargo, combatir y lidiar con los ataques de phishing como un vector de ataque por derecho propio es algo que los intercambios pueden revisar. Algunos implementan códigos secretos que un usuario puede verificar para asegurarse de que el mensaje sea genuino. A menos que una cuenta de intercambio también sea secuestrada, los usuarios pueden ignorar e informar correos electrónicos que no contengan su código secreto.
El bajo volumen de algunos pares comerciales al contado es sin duda una vulnerabilidad que debe abordarse, ya que X-explore razonó que el mercado bajista actual había abierto este vector de ataque.
“Para brindar a los usuarios más opciones comerciales, los principales intercambios han lanzado una gran cantidad de tokens. Después de que pasó la popularidad en el mercado de algunos tokens, el volumen de negociación se redujo drásticamente, pero los intercambios no los eliminaron de la lista”.
El último punto de X-explore en el informe está relacionado con la seguridad de las transacciones. X-explore destacó que el par comercial explotado en FTX vio “el volumen de transacciones aumentó mil veces”. sin embargo, no dio recomendaciones sobre una posible acción a tomar cuando se registran volúmenes anormalmente altos.