警惕新型黑客手法：3Commas API KEY泄露事件始末_MAS:COM

原文作者：ColinWu

21日一名杭州用戶向吳說爆料：他的FTX賬戶在19日晚突然“瘋狂”地進行交易達5000多次，賬戶資產160萬美金接近歸零，包括10幾個BTC、上百個ETH以及幾千個FTT等，全部通過交易小幣DMG對敲盜走。用戶1年前開始使用量化機器人3Commas，FTX的API不需要更新，所以從來沒動過也沒保存過API。

FTX反饋是由于有能夠訪問APIKEY的人通過RESTAPI完成，可能是泄露了用戶APIKEY。FTX表示需要拿到立案通知書才能配合相關例如凍結等工作，但在用戶提交報案回執后暫無回復。3Commas則表示沒有發生任何的泄露。

值得注意的是，FTX客服在最初回復中表示，“受影響的并非只有你”，可隨后FTX客服就不再聯系，并且表示這是個誤會。

聲音 | 人大副校長劉元春：中國區塊鏈領域的融資占全球83.1% 警惕技術焦慮帶來金融泡沫:金色財經報道，11月19日，京東2019全球科技探索者大會在北京召開。中國人民大學副校長劉元春出席分論壇《金融科技下半場》并發表演講。劉元春引用一組數據表示，中國在區塊鏈領域的融資占全球的83.1%，這個比重需要反思。結合當前科技金融模式、業態的變化，劉元春從未來學角度分析稱，未來學的預測大多數是不靠譜的，那些超級小概率的事件往往就是所謂的黑天鵝。他還表示，人們對于技術的焦慮很容易轉換為對金融的期待，最終帶來泡沫。新奇、憧憬要適度。（金融界）[2019/11/19]

問題來到了3Commas這邊，它在吳說報道后連忙回應稱：目前，3Commas將此事視為重中之重。我們在登錄時使用2FA和OTP等具有最高安全性，以確保用戶帳戶始終安全。我們與用戶保持聯系，以確保他們獲得所需的所有支持。

聲音 | 浙大陳建海：警惕區塊鏈被用來“亂講故事”:浙江大學智能計算&系統實驗室區塊鏈負責人陳建海博士最近指出，區塊鏈作為新生事物確實容易讓別有用心的人亂講故事，所以政府、企業應加強學習。如果能夠用好區塊鏈技術，就能在信息披露等方面更好實現監管。有了區塊鏈，互聯網傳過來信息是受保護的、可溯源的、可信的。縱觀一、二、三產業，從互聯網到互聯網+，第三產業得到快速發展，第一、二產業相對滯后，目前迫切需要第一、二、三產業的互聯互通。[2019/11/11]

隨后3Commas發布了一個公告：

10月20日，3Commas團隊接到警報，發生一起事件，其中一些合作伙伴交換API密鑰連接到3Commas，并用于在合作伙伴賬戶上對DMG加密貨幣交易對進行未經授權的交易。

聲音丨梓岑與 Alex 發聲：需警惕打著EOS側鏈旗號的分叉行為:據 IMEOS 報道，針對 EOS 主鏈、側鏈與分叉， HelloEOS 梓岑與 EOS 黑莊群 Alex表達了如下見解：

在傳統的加密貨幣的側鏈的定義里，側鏈通過一個雙向錨定的機制實現價值傳輸，任何鏈都可以成為任何鏈的所謂“側鏈“。如以太坊可以成為比特幣的側鏈，萊特幣可以成為比特幣的側鏈。這個操作比如可以通過「散列時間鎖合約」來達成。

但這對于EOS來說并無意義！比如散列時間鎖，為了完成這一代幣的交換，需要交易各方在兩條鏈分別發起交易，由于規則的設定最長等待時間可能長達1-2天。

目前，EOS并沒內置快速跨鏈機制（子鏈），啟用快速跨鏈機制的準入制度也并沒有完善（比如是否需要15%門檻）。在目前狀態下，兩條獨立的使用EOSIO軟件的區塊鏈的所謂跨鏈智能合約執行也并沒有經過驗證，能做的事情也并不多，每種特定的操作都需要獨立的合約，而且并沒有任何一個具體的實現出來，而本質上這一行為也需要在兩條鏈有獨立的賬戶，能運行相關的合約才能實現，并不能借此來解決所謂ram費用太高注冊用戶貴的問題。

所以目前市面上的所謂側鏈都是打著側鏈旗號的分叉鏈。無論怎么稱呼這一行為，這些所謂的鏈都跟EOS最大共識主網沒有任何直接關系，有關系也是分叉鏈單方面一廂情愿的想法。只有完全承認EOS代幣持有者權益的能實現快速跨鏈機制的子鏈才是跟EOS主網有直接關系。[2018/7/18]

在3Commas和我們的合作伙伴交易所進行的合作調查中，發現許多APIKEY與新的3Commas帳戶相關聯，這些帳戶首次創建并用于在合作伙伴交易所對DMG交易對執行未經授權的交易。API密鑰不是從3Commas獲取的，而是從3Commas平臺外部獲取的。

英國金融監管局警告金融服務供應商Coin Boost 再次提醒用戶警惕未經授權的金融機構:據financemagnates消息，英國金融監管局（FCA）針對未經授權的金融服務供應商Coin Boost提供包括數字貨幣在內的金融服務或產品發出警告，同時再次重申：請投資者只與獲得授權的金融機構打交道。該監管機構還在一份聲明中提醒英國投資者，如果在與未經授權的金融機構進行交易時出現問題，他們將失去獲得FCA幫助的資格。[2018/6/20]

我們擴大了調查范圍，發現了幾個假冒的3Commas網站，這些網站通過復制3Commas網絡界面的設計并從3Commas用戶那里捕獲API密鑰來“釣魚”3Commas用戶，這些用戶不小心使用假冒網站嘗試連接他們的交易賬戶.

API密鑰隨后由虛假網站存儲，隨后用于在合作伙伴交易所的DMG交易對上進行未經授權的交易。由于攻擊的規模和復雜性，我們還懷疑可能還使用了3rd方瀏覽器擴展或惡意軟件。作為預防措施，合作伙伴交易所和3Commas已識別出可能存在可疑活動的帳戶，并禁用了可能已泄露的API密鑰。

如果您有一個連接到3Commas的交易所帳戶，并且顯示API“無效”或“需要更新”，那么您的API詳細信息可能已被泄露，并且API密鑰已被合作伙伴交易所刪除。我們敦促您在該交易所創建新的API密鑰。

https://3commas.io/blog/3commas-security-update-october-20

然而在公告發布后，更多的受害者開始出現。

一名來自巴拉圭的受害者告訴吳說：他在攻擊中損失了近104比特幣，他強調FTX自10月19日以來就知道該漏洞，兩天后我遭到了攻擊！3Commas說是網絡釣魚攻擊，但我從未使用我的3Commas帳戶來設置機器人，而且該帳戶甚至已過期并已降級為免費帳戶。我已經有一年多沒有進入該帳戶，我從未將密鑰或API密鑰保存到任何文檔中，但僅在一年多前使用它來建立FTX連接。我也是一名IT工程師，我的筆記本電腦和智能手機由Norton360和其他積極防止任何網絡釣魚或病攻擊的機制保護。

另一名來自中國的量化交易的受害者也表示，從未使用過3Commas。在他的截圖中，19、20、21日均發生了關于DMG的對敲盜幣，但FTX竟然沒有對此做預防措施。

https://twitter.com/littlesand2/status/1583830658203283456

隨著輿論發酵，10月24日SBF終于回應，表示將賠償600萬美金，但“這是一次性的事件，我們不會養成補償被其他公司的假冒版本釣魚使用的習慣”。目前用戶已經收到了賠償的金額。FTX對敲盜幣事件攻擊者已將所獲取利潤轉移至Binance和FixedFloat交易所。SBF表示若攻擊者在24小時內歸還95%的被盜資金，則免除其法律責任。

目前來看，FTX與3Commas都堅稱是用戶登陸了虛假釣魚網站而泄露了APIKEY。受害者當然對此并不同意。但事件核心確實是APIKEY泄露。由于數據都掌握在3Commas與FTX內部，披露的信息目前也非常稀少，所以真相究竟如何，外界可能也無法完全了解。總而言之，對APIKEY的授權與管理需要更加謹慎。

24日晚，據@x_explore_eth最新研究，因為APIKEY泄露，除了FTX用戶因為對敲遭到數百萬美金的損失，BinanceUS和Bittres的交易所也遭到類似的攻擊，使用的小幣種分別為SYS/USD與NXT/BTC，損失分別達到1053ETH和301ETH。FTX的DMG/USD當攻擊發生時，交易量增加千倍幣價波動2-3倍，屬于重大異常交易事件，但FTX并沒有即時阻止，問題后續持續多次發生，因此也需要承擔一定的責任，其他交易所也應該對此多加關注。

閱讀更多

原文鏈接

Tags：COM3COMMASMASOMMBitcoMine3COMMAS價格metamask官網下載最新版本SheBollETH Commerce

以太坊交易所