3COMMAS:警惕新型黑客手法：3Commas API KEY泄露事件始末

原文作者：ColinWu

21日一名杭州用戶向吳說爆料：他的FTX賬戶在19日晚突然“瘋狂”地進行交易達5000多次，賬戶資產160萬美金接近歸零，包括10幾個BTC、上百個ETH以及幾千個FTT等，全部通過交易小幣DMG對敲盜走。用戶1年前開始使用量化機器人3Commas，FTX的API不需要更新，所以從來沒動過也沒保存過API。

FTX反饋是由于有能夠訪問APIKEY的人通過RESTAPI完成，可能是泄露了用戶APIKEY。FTX表示需要拿到立案通知書才能配合相關例如凍結等工作，但在用戶提交報案回執后暫無回復。3Commas則表示沒有發生任何的泄露。

值得注意的是，FTX客服在最初回復中表示，“受影響的并非只有你”，可隨后FTX客服就不再聯系，并且表示這是個誤會。

美國SEC發布投資者公告：警惕加密資產計息賬戶的風險:金色財經報道，美國SEC投資者教育宣傳辦公室和執法部門的零售戰略工作組正在發布投資者公告，以教育投資者關于對加密資產存款支付利息的賬戶的風險。SEC稱，加密資產，包括加密貨幣、穩定幣、代幣和其他數字資產，在過去幾年里，散戶投資者的興趣逐漸加大。本投資者公告強調了最近一種與加密資產有關的金融產品可能涉及的風險，用于持有加密資產的計息賬戶。

1.與銀行存款不同，這些產品聽起來可能類似于銀行或信用社的計息賬戶，但投資者需要注意的是，這些與加密貨幣資產有關的賬戶并不像銀行或信用社的存款那樣安全。

2.加密貨幣資產投資的風險，在計息賬戶中持有的加密資產可能被用于投資各種與加密資產相關的產品、計劃或其他活動，包括將加密資產借給借款人的借貸項目。支付給你的利息是基于這些投資活動。 其中包括：加密資產市場的波動性和流動性不足；持有你的加密資產的公司可能會倒閉或破產的風險；不可預測性，包括特定加密資產的市場可能完全消失，或者加密資產可能不再在任何地方交易；聯邦、州或外國政府可能限制加密資產的使用和交換的監管變化；如果發生欺詐、違約或錯誤，則無法整頓；和潛在的欺詐、技術故障、黑客或惡意軟件。[2022/3/16 13:58:42]

問題來到了3Commas這邊，它在吳說報道后連忙回應稱：目前，3Commas將此事視為重中之重。我們在登錄時使用2FA和OTP等具有最高安全性，以確保用戶帳戶始終安全。我們與用戶保持聯系，以確保他們獲得所需的所有支持。

聲音 | 經濟日報：警惕虛擬貨幣交易死灰復燃:1月3日，經濟日報刊文《警惕虛擬貨幣交易死灰復燃》。文章稱，中國人民銀行營業管理部、北京銀保監局、北京市地方金融監督管理局、北京證監局日前聯合發布防范虛擬貨幣交易活動風險提示。經調查，當前部分虛擬貨幣交易平臺正在面向境內居民提供虛擬貨幣交易服務，甚至通過數字貨幣抵押推出“零息借貸”“雙幣理財”等項目。北京銀保監局相關負責人說：“這嚴重違反了中國人民銀行等七部委2017年9月份發布的《關于防范代幣發行融資風險的公告》，涉嫌從事非法金融活動，擾亂經濟金融秩序。”這位負責人表示，投資者需準確認識代幣發行融資活動的本質屬性。所謂“代幣發行融資”，是指融資主體通過代幣的違規發售、流通，向投資者籌集比特幣、以太幣等所謂“虛擬貨幣”，本質上是一種未經批準非法公開融資的行為，涉嫌非法發售代幣票券、非法發行證券以及非法集資、金融詐騙、傳銷等違法犯罪活動。[2020/1/3]

隨后3Commas發布了一個公告：

動態 | 加拿大多倫多警告民眾警惕冒充警察和政府人員的比特幣詐騙者:加拿大多倫多警告民眾警惕冒充警察和政府人員的比特幣詐騙者，此前已經有多人受騙。詐騙者自稱是加拿大稅務局（CRA）代表或執法人員并致電受害者，告訴受害者他們的個人銀行詳細資料、社會保險號碼或其他個人信息已受到破壞，并要求受害者以先進或比特幣的方式轉賬。[2019/11/2]

10月20日，3Commas團隊接到警報，發生一起事件，其中一些合作伙伴交換API密鑰連接到3Commas，并用于在合作伙伴賬戶上對DMG加密貨幣交易對進行未經授權的交易。

在3Commas和我們的合作伙伴交易所進行的合作調查中，發現許多APIKEY與新的3Commas帳戶相關聯，這些帳戶首次創建并用于在合作伙伴交易所對DMG交易對執行未經授權的交易。API密鑰不是從3Commas獲取的，而是從3Commas平臺外部獲取的。

聲音丨梓岑與 Alex 發聲：需警惕打著EOS側鏈旗號的分叉行為:據 IMEOS 報道，針對 EOS 主鏈、側鏈與分叉， HelloEOS 梓岑與 EOS 黑莊群 Alex表達了如下見解：

在傳統的加密貨幣的側鏈的定義里，側鏈通過一個雙向錨定的機制實現價值傳輸，任何鏈都可以成為任何鏈的所謂“側鏈“。如以太坊可以成為比特幣的側鏈，萊特幣可以成為比特幣的側鏈。這個操作比如可以通過「散列時間鎖合約」來達成。

但這對于EOS來說并無意義！比如散列時間鎖，為了完成這一代幣的交換，需要交易各方在兩條鏈分別發起交易，由于規則的設定最長等待時間可能長達1-2天。

目前，EOS并沒內置快速跨鏈機制（子鏈），啟用快速跨鏈機制的準入制度也并沒有完善（比如是否需要15%門檻）。在目前狀態下，兩條獨立的使用EOSIO軟件的區塊鏈的所謂跨鏈智能合約執行也并沒有經過驗證，能做的事情也并不多，每種特定的操作都需要獨立的合約，而且并沒有任何一個具體的實現出來，而本質上這一行為也需要在兩條鏈有獨立的賬戶，能運行相關的合約才能實現，并不能借此來解決所謂ram費用太高注冊用戶貴的問題。

所以目前市面上的所謂側鏈都是打著側鏈旗號的分叉鏈。無論怎么稱呼這一行為，這些所謂的鏈都跟EOS最大共識主網沒有任何直接關系，有關系也是分叉鏈單方面一廂情愿的想法。只有完全承認EOS代幣持有者權益的能實現快速跨鏈機制的子鏈才是跟EOS主網有直接關系。[2018/7/18]

我們擴大了調查范圍，發現了幾個假冒的3Commas網站，這些網站通過復制3Commas網絡界面的設計并從3Commas用戶那里捕獲API密鑰來“釣魚”3Commas用戶，這些用戶不小心使用假冒網站嘗試連接他們的交易賬戶.

API密鑰隨后由虛假網站存儲，隨后用于在合作伙伴交易所的DMG交易對上進行未經授權的交易。由于攻擊的規模和復雜性，我們還懷疑可能還使用了3rd方瀏覽器擴展或惡意軟件。作為預防措施，合作伙伴交易所和3Commas已識別出可能存在可疑活動的帳戶，并禁用了可能已泄露的API密鑰。

如果您有一個連接到3Commas的交易所帳戶，并且顯示API“無效”或“需要更新”，那么您的API詳細信息可能已被泄露，并且API密鑰已被合作伙伴交易所刪除。我們敦促您在該交易所創建新的API密鑰。

https://3commas.io/blog/3commas-security-update-october-20

然而在公告發布后，更多的受害者開始出現。

一名來自巴拉圭的受害者告訴吳說：他在攻擊中損失了近104比特幣，他強調FTX自10月19日以來就知道該漏洞，兩天后我遭到了攻擊！3Commas說是網絡釣魚攻擊，但我從未使用我的3Commas帳戶來設置機器人，而且該帳戶甚至已過期并已降級為免費帳戶。我已經有一年多沒有進入該帳戶，我從未將密鑰或API密鑰保存到任何文檔中，但僅在一年多前使用它來建立FTX連接。我也是一名IT工程師，我的筆記本電腦和智能手機由Norton360和其他積極防止任何網絡釣魚或病攻擊的機制保護。

另一名來自中國的量化交易的受害者也表示，從未使用過3Commas。在他的截圖中，19、20、21日均發生了關于DMG的對敲盜幣，但FTX竟然沒有對此做預防措施。

https://twitter.com/littlesand2/status/1583830658203283456

隨著輿論發酵，10月24日SBF終于回應，表示將賠償600萬美金，但“這是一次性的事件，我們不會養成補償被其他公司的假冒版本釣魚使用的習慣”。目前用戶已經收到了賠償的金額。FTX對敲盜幣事件攻擊者已將所獲取利潤轉移至Binance和FixedFloat交易所。SBF表示若攻擊者在24小時內歸還95%的被盜資金，則免除其法律責任。

目前來看，FTX與3Commas都堅稱是用戶登陸了虛假釣魚網站而泄露了APIKEY。受害者當然對此并不同意。但事件核心確實是APIKEY泄露。由于數據都掌握在3Commas與FTX內部，披露的信息目前也非常稀少，所以真相究竟如何，外界可能也無法完全了解。總而言之，對APIKEY的授權與管理需要更加謹慎。

24日晚，據@x_explore_eth最新研究，因為APIKEY泄露，除了FTX用戶因為對敲遭到數百萬美金的損失，BinanceUS和Bittres的交易所也遭到類似的攻擊，使用的小幣種分別為SYS/USD與NXT/BTC，損失分別達到1053ETH和301ETH。FTX的DMG/USD當攻擊發生時，交易量增加千倍幣價波動2-3倍，屬于重大異常交易事件，但FTX并沒有即時阻止，問題后續持續多次發生，因此也需要承擔一定的責任，其他交易所也應該對此多加關注。

閱讀更多

原文鏈接

Tags：COM3COMMASMMAMASComPro3COMMAS幣Umma Tokenmetamask安卓端

比特幣價格