Účet Binance obchodníka byl hacknut poté, co unikly klíče API obchodní služby, kterou používal. Pachatel (pachatelé) pak použil (použili) účet oběti k manipulaci s cenou tokenu AXS, která během několika minut vzrostla o 200 %.
Klíče API unikly a účet obchodníka byl hacknut
V neděli odpoledne byl obchodník nepříjemně překvapen, když na svém účtu Binance viděl nechtěné obchody. Hackerský útok ve skutečnosti zahrnuje únik dat klíčů API oběti, což mu umožnilo propojit účet Binance s obchodní službou, kterou používal:
Kdokoli se diví, proč AXS čerpá. Někdo, nějakým způsobem nakoupil na mém účtu @cz_binance @binance v hodnotě milionu dolarů. Mám několik úrovní zabezpečení, nikdo se na můj účet nedostal…
WTF!?
Právě jsem dostal REKT. pic.twitter.com/iGOocFZynU
– CarlosOMFGTv (0%) (@CarlosOMFG) 13. listopadu 2022
Hacker otevřel několik pozic, aby manipuloval s cenou AXS, tokenu blockchainové hry Axie Infinity. Cena aktiva vzrostla během několika minut o 200 %, než se zhroutila téměř na původní úroveň:
Obrázek 1 – Cena AXS v minutách v době operace
Oběť také vysvětluje, že v důsledku útoku přišla o přibližně 100 000 dolarů. Je pravděpodobné, že hackeři nashromáždili AXS již dříve, aby ji mohli po manipulaci s trhem prodat.
Binance se ujala případu
Finanční prostředky oběti se sice nacházely na platformě Binance, ale je důležité poznamenat, že k narušení bezpečnosti nedošlo vinou této platformy.
Changpeng Zhao (CZ), generální ředitel burzy, uvedl, že se budou vyskytovat nejméně tři podobné případy, včetně toho, o kterém pojednává tento článek:
Zaznamenali jsme nejméně 3 případy uživatelů, kteří sdíleli svůj klíč API s platformami třetích stran (Skyrex a 3commas) a na svých účtech zaznamenali neočekávané obchodování. Pokud jste takovou platformu používali dříve, doporučuji vám pro jistotu klíče API smazat.
– CZ Binance (@cz_binance) 14. listopadu 2022
Úniky by se týkaly lidí využívajících služeb obchodních botů Skyrex a 3commas. CZ také uvedla, že Binance bude dále vyšetřovat:
Carlos (oběť) potvrdil, že neznámé příkazy byly způsobeny únikem jeho klíče API. Má pouze jeden aktivní klíč API, který byl použit na platformě Skyrex, což je kryptografický obchodní bot. Pokusíme se zakázat všechny klíče API používané společností Skyrex a zjistíme, jak je nyní identifikovat. „
API připojení v kryptografickém ekosystému
Připojení API
jsou užitečná pro několik scénářů v našem ekosystému. Například pro řešení, jako je Waltio, bude užitečné mít k dispozici pouze pro čtení naše účty na centralizovaných platformách, což nám umožní centralizovat historii transakcí a usnadní nám podávání daňových přiznání.
Pokročilejší využití však umožňuje například udělit oprávnění obchodním botům nebo obchodním terminálům, aby mohly vzdáleně komunikovat s burzou. V tomto případě je nutné přesně definovat oprávnění, která chcete tomuto připojení udělit:
Obrázek 2 – Nastavení klíče API na Binance
bod selhání pak může být ve službě třetí strany, ke které jsme toto připojení poskytli, a to se zřejmě stalo v dříve diskutovaném případě.
Stejně jako u každého projektu je tedy i tyto služby třeba důkladně analyzovat, než jim poskytneme přístup k našim investicím, abychom se vyhnuli případným komplikacím.
