Uma conta de caixa do comerciante foi pirateada depois de as chaves API do serviço de negociação que ele estava a utilizar terem sido vazadas. O(s) agressor(es) usou então a conta da vítima para manipular o preço da ficha AXS, que subiu 200% numa questão de minutos.
fuga de chaves API e conta do comerciante é hackeada
No domingo à tarde, um comerciante ficou desagradavelmente surpreendido ao ver negócios indesejados na sua conta de Binance. O hack envolve na realidade uma fuga de dados das chaves API da vítima, permitindo-lhe ligar a sua conta de Binance ao serviço de negociação que estava a utilizar:
Anyone a perguntar-se porque AXS está a bombear. Alguém, de alguma forma, comprou um milhão de dólares na minha conta @cz_binance @binance Tenho vários níveis de segurança, ninguém acedeu à minha conta…
WTF!?
Acabei de receber o REKT. pic.twitter.com/iGOocFZynU
– CarlosOMFGTv (0%) (@CarlosOMFG) 13 de Novembro de 2022
O hacker abriu várias posições a fim de manipular o preço do AXS, o símbolo do jogo Axie Infinity blockchain. O preço do bem subiu 200% numa questão de minutos antes de cair para quase o seu nível original:
Figura 1 – Preço AXS em minutos no momento da operação
A vítima também explica que perdeu cerca de 100.000 dólares como resultado do ataque. É provável que os hackers tivessem acumulado AXS antes, a fim de o venderem após a sua manipulação de mercado.
Binance assume o caso
Enquanto os fundos da vítima estavam no Binance, é importante notar que a falha de segurança não foi culpa da plataforma.
Changpeng Zhao (CZ), o CEO da bolsa, disse que haveria pelo menos três casos semelhantes, incluindo o discutido neste artigo:
Vimos pelo menos 3 casos de utilizadores que partilharam a sua chave API com plataformas de terceiros (Skyrex e 3commas), e vimos transacções inesperadas nas suas contas. Se já utilizou tal plataforma antes, recomendo-lhe vivamente que elimine as suas chaves API apenas por razões de segurança.
– CZ Binance (@cz_binance) 14 de Novembro de 2022
As fugas envolveriam pessoas que utilizam os serviços dos bots de comércio Skyrex e 3commas. CZ também disse que o Binance iria investigar mais:
Carlos (a vítima) confirmou que as ordens desconhecidas se deviam a uma fuga da sua chave API. Ele só tem uma chave API activa e foi utilizada na Skyrex, uma plataforma de negociação de criptografia de bot. Vamos tentar desactivar todas as chaves API utilizadas pela Skyrex, descobrindo agora como identificá-las. “
Ligações
API no ecossistema criptográfico
As ligações API são úteis para vários cenários no nosso ecossistema. Por exemplo, uma leitura apenas das nossas contas em plataformas centralizadas será útil para soluções como a Waltio, permitindo-nos centralizar o nosso histórico de transacções para facilitar o nosso registo fiscal.
Mas uma utilização mais avançada permite, por exemplo, dar autorizações a bots ou terminais comerciais, de modo a poder interagir de forma remota com uma bolsa. Neste caso, é necessário definir com precisão as autorizações que deseja conceder a esta ligação:
Figura 2 – Configuração de uma chave API no Binance
um ponto de falha pode então estar no serviço de terceiros ao qual fornecemos esta ligação, e é isto que parece ter acontecido no caso anteriormente discutido.
Assim, como em qualquer projecto, estes serviços também precisam de ser minuciosamente analisados antes de lhes darmos acesso aos nossos investimentos, para evitar qualquer contratempo.
