CyberNews研究人員發現,網絡犯罪分子能夠濫用加密貨幣交換API密鑰并且在沒有被授予提款權利的情況下從受害者的帳戶中竊取加密貨幣。與此同時,超過1000000美元的加密貨幣被存放在API密鑰暴露在公共代碼存儲庫中的賬戶中。
在過去幾年中,隨著加密貨幣市場的爆炸式增長,各大公司開始提供應用程序和服務來幫助交易者簡化交易流程。
要使用這些服務,交易者可以通過API密鑰在加密貨幣交易中授予第三方程序訪問其個人帳戶的權限,API密鑰允許這些程序代表他們執行操作,包括在不登錄交易所的情況下打開和執行自動交易訂單。
每組API密鑰都包含兩個重要元素:公共密鑰和私有密鑰,通常稱為公鑰和私鑰。第三方應用程序使用該密鑰來簽署操作請求,并告知加密貨幣交換該應用程序有權訪問交易者的帳戶并執行API密鑰支持的操作。
一旦您的API密鑰被網絡犯罪分子泄露或竊取將會導致災難性的后果。不過,話雖如此,即使其他人竊取了您的API秘密密鑰,他們也不能簡單地將您的加密貨幣余額轉移到自己的錢包中,因為默認情況下,加密貨幣交易所會禁用API提取權限。
BitKeep敦促黑客及模仿套利者24小時內歸還盜取資金:10月29日消息,Web3多鏈錢包BitKeep通過鏈上消息對此前攻擊BitKeep Swap的黑客喊話,敦促黑客及模仿套利者在24小時內進行回應并歸還盜取的資金。BitKeep稱,在安全機構和業務合作伙伴的支持下,已掌握黑客的關鍵身份信息。
10月27日,BitKeep曾發布公開信,要求黑客及模仿套利者進行協商歸還盜取的資金,并提供被盜資金的5%作為漏洞賞金/退款獎勵,否則將協助并聯合受影響的用戶訴諸法律手段。此外,BitKeep表示目前已完成99%的賠付工作。[2022/10/29 11:55:55]
但是,在進行威脅情報操作時,我們的研究人員發現,最近幾周,在整個黑客論壇中,被盜的加密貨幣交換API密鑰的交易要約似乎一直在穩定增長。
顯然,這是一種新興的犯罪商業模式,“經驗豐富的交易者”團隊提供了通過利用被盜的API密鑰來“清空”加密貨幣交易帳戶的功能。
毫無疑問,這一現象引起了我們的注意。為了幫助加密貨幣交易用戶保護其辛苦賺來的硬幣,我們決定對這一新興趨勢展開,并盡可能多地了解威脅參與者如何利用這些API密鑰。
推特黑客事件策劃者Graham Clark擁有價值300萬美元比特幣:推特黑客事件幕后黑手之一17歲少年Graham Clark目前擁有價值約300萬美元的比特幣,這筆財富與本次推特攻擊名人賬號無關,是在2019年的另一次刑事調查過程中被發現的,足夠支付新案件涉及的725000美元的保釋金。(u.today)[2020/8/2]
我們的發現令人難以置信:犯罪分子似乎正在使用加密貨幣交易應用程序的被盜API密鑰輕松地在所有主要的加密貨幣交易所上清空受害者的帳戶。
更糟糕的是,犯罪分子可以輕易繞過API密鑰上的“僅交易”設置,即使沒有獲得他們的帳戶憑據或提款權,也可以從交易者的賬戶中竊取資金。
網絡罪犯如何濫用被盜的API密鑰
通常,加密貨幣交易所向交易者提供三種類型的API權限:
·數據權限,允許API可以讀取您的exchange帳戶數據,包括未結訂單,余額和交易歷史記錄,而無需對帳戶進行任何更改。
·交易權限,允許API代表您執行交易,下達未結訂單和已結束訂單。
·提款許可,允許API從您的交換帳戶中提取加密貨幣并將其轉移到另一個位置。啟用此權限后,應用程序可以將您的資金轉移到另一個錢包,而無需您的許可。
動態 | 數據顯示:幣安5月被盜比特幣有超700枚在黑客錢包地址間發生轉移:據 Whale Alert數據顯示,UTC時間7月8日08:47:01,幣安5月被盜的比特幣發生轉移,其中706.1枚BTC(約合8038,240美元)從開頭為bc1q3a的錢包地址轉移至開頭為bc1qqm的錢包地址。交易哈希值為:d7120218edfd6203832ff024c9c223c50915581fba06029332b1a0c75b43ecd3。注:這兩個錢包均被Whale Alert標記為“Binance Hack May 2019”。[2019/7/8]
出于安全原因,默認情況下,加密貨幣交易所禁用取款權限。話雖如此,在網絡犯罪論壇上發布的大多數廣告都聲稱,其所有者最多可以提取受害者的加密貨幣余額的80%,然后將其與被盜的API密鑰的所有者進行分割。
(黑客論壇上API密鑰攻擊服務廣告的一個例子:“有經驗的交易者”根據交易所的不同,可以從被盜用的交易帳戶中提取多達80%的資金。)
這會讓您認為,這些廣告背后的犯罪服務提供商將需要已被授予撤回權限的被盜API密鑰。但是,在進行了一系列測試之后,我們甚至找不到一個啟用了撤回權的待售的被盜API密鑰。
犯罪分子能夠在沒有提款權的情況下提款嗎?
黑客攻擊受害者向法院申請要求BitGrail破產:據cointelegraph消息,代表BitGrail黑客攻擊受害者的意大利律師事務所BonelliErede已經向意大利法院提交了一份請愿書,要求其根據意大利破產法第6條宣布BitGrail破產。根據“BitGrail受害者小組”在Medium發布文章顯示,BonelliErede律師事務所代表BitGrail的債權人Espen Enger提交了破產申請,據稱該申請人已與3000多名索賠人達成了聯系。據報道,大多數受害者告表示“寧愿立即對BitGrail的資產進行破產核算”,因為擔心他們的資產會進一步耗盡。[2018/4/29]
不幸的是,為了從交易賬戶中竊取資金,威脅行為者甚至不需要直接提取資金:通過在適當權限下代表受害者進行交易,他們只需通過與罪犯自己建立的機器人進行無利可圖的交易,就可以將余額賣掉。
在對網絡犯罪分子使用的被盜交易所API密鑰濫用技術進行調查期間,我們了解到,威脅行為者主要采用兩種API密鑰利用方法從交易商那里竊取資金:“sellwalls”買斷和提價。
注意:我們已經在Binance加密貨幣交易所上的自己的帳戶上成功地測試了這些方法,似乎所有流行的加密貨幣交易所上的帳戶都可能以這種方式被利用。
購買“sellwalls”
韓國執法部門正在調查朝鮮黑客是否卷入Youbit比特幣被盜事件:韓國執法部門和一家由政府支持的網絡安全機構正在調查朝鮮黑客是否卷入Youbit比特幣被盜事件。2017年4月,Youbit遭到黑客攻擊并損失了客戶資金的17%,入侵者盜竊了4000個比特幣,當時Youbit交易所的名字還是Yapian,隨后該公司停止交易并申請破產。現在韓國調查人員正在考慮將朝鮮視為嫌疑對象。據消息人士透露,調查剛剛開始,可能會持續數周。但是,有具體的跡象和證據表明朝鮮參與了黑客攻擊。[2018/4/2]
“sellwalls”是在股票和加密貨幣市場中都采用的一種常見的市場操縱技術。在加密貨幣世界中,這些是市場操縱者人為創造的大規模市場賣出指令,目的是降低加密貨幣價格或將其保持在最大閾值以下以便宜的價格購買大量硬幣。
在許多情況下,這些巨大的訂單一次只會出現幾分鐘甚至幾秒鐘,然后被完全刪除。
我們的調查發現,網絡犯罪分子使用相似的“sellwalls”技術,但也略微有所不同。在這種情況下,“sellwalls”是由威脅參與者使用泄露的交易者帳戶創建的,這些帳戶是使用他們竊取的API密鑰設置的。
根據CyberNews研究人員MartynasVareikis的說法,為了引發價格波動,犯罪分子設置了交易機器人,以開立許多低于市場價值的小型賣出訂單,如果受害者的賬戶余額足夠大,則開立一個大型賣出訂單。與此同時,同一機器人就為受害者被迫“出售”的硬幣打開了自動購買訂單。
“這在加密貨幣交易所的買/賣定單圖表中創建了一個可見的'sellwall',合法交易機器人通常只能在交易余額耗盡之前買入約20%的'sellwall',剩下的80%則留給犯罪分子設立的交易機器人。”Vareikis說。
在以令人難以置信的低價完成一個銷售訂單后,另一個訂單立即被設置為銷售更多硬幣,這將給受害者造成更大的損失。這個過程不斷的重復,最終將受害者的全部賬戶余額以壓低的價格逐步出售給威脅參與者的交易機器人。
這樣,受害人的資金可以在幾毫秒內完全蒸發,這是執行這種自動交易訂單所需要的全部時間。
提價
價格上漲是罪犯分子常用的第二種利用被盜API密鑰的技術。這種方法涉及購買交易量非常少的廉價硬幣,短暫地提高其價格,然后以勒索的價格將其賣回給受害者。
犯罪分子在利用受害者的帳戶之前,先在自己的中間人帳戶中存儲一種非常便宜、不怎么流行的加密貨幣,以此展開他們的行動。
受害者的帳戶中約有80%錢用于針對同一加密貨幣發起大筆購買訂單。低交易量使網絡犯罪分子可以通過發起大量購買訂單來大幅提高貨幣的價格。
同時,犯罪分子利用中間人賬戶以較高的價格向受害者出售價格膨脹的硬幣。訂單執行后,交易量和價格恢復正常,給受害者留下了一堆幾乎一文不值的硬幣,而這些都是他們被迫以離譜的價格從威脅行為者那里購買的。
網絡罪犯如何獲取被盜的API密鑰
網絡犯罪分子可以通過多種方式獲取他人的API密鑰,而無需在其設備上安裝惡意軟件或間諜軟件。這包括掃描可公開訪問的Web應用程序環境文件和公共代碼存儲庫以查找泄漏的私鑰。
大多數Web應用程序都使用環境(ENV)文件來存儲框架設置,這些設置對于應用程序的工作是至關重要的,并且在某些情況下可能包含API密鑰。在大多數情況下,這些文件是被加密的。但是,有時它們不受保護,這意味著包括網絡犯罪分子在內的任何人都可以訪問其內容并提取其中發現的任何有用信息。
與ENV文件類似,存儲在公共代碼存儲庫中的文件可能包含公開的身份驗證token。諸如GitHub之類的公共存儲庫因其成為網絡犯罪分子的金礦而臭名昭著,其中一些存儲了成千上萬個泄漏的憑證文件以及API密鑰。
UniversityofAdvancedTechnology的首席網絡講師AaronJones說,API密鑰很有價值,這使它們備受網絡犯罪分子的追捧。“永遠不要將API密鑰推送到Github或Gitlab之類的網站上,您應該將它從您的應用程序中抽象出來,放在一個已添加到gitignore文件中的文件中,”Jones補充說。
“犯罪分子通常會以一種簡單的方式來獲取API密鑰,比如通過易受攻擊的S3Bucket,硬編碼到github發布的源代碼,甚至是網絡釣魚。你會驚訝地發現這種事情經常發生。根據定義,API訪問是一個網絡事件。記錄并分析您的活動。”onShoreSecurity的創始人兼首席執行官StelValavani說,“對于API密鑰之類的頂級產品來說尤其如此。”
我們在調查期間進行的測試表明,平均而言,在公共存儲庫中找到的交易API密鑰屬于持有價值約5,000美元加密貨幣的帳戶,其中最高的帳戶余額為154,000美元,它啟用了交易權。
在公共代碼存儲庫中公開了API密鑰的交易賬戶的總凈資產超過1,000,000美元的加密貨幣。
(加密貨幣交易機器人公開提交的源代碼示例,每個人都可以看到二進制API密鑰)
盡管我們在調查中沒有發現暴露的API密鑰啟用了提款權,但仍有超過90%的用戶授予了交易權限,這將使網絡犯罪分子可以輕松清空受害者的交易帳戶。
如何保護您的API密鑰
如果您是加密貨幣交易者,則可以采取一些簡單的步驟來保護自己的API密鑰,以免被那些在黑客論壇上宣傳其服務的“經驗豐富的交易者”濫用:
為您的IP地址列出白名單。主要的加密貨幣交易所允許將IP地址列入白名單以用于API密鑰使用。啟用此功能將阻止大多數犯罪分子利用您的余額進行交易,只要他們無法訪問您的交易機器人控制面板即可。
將您的API密鑰視為加密貨幣錢包的私鑰。即,不要將它們存儲在硬盤上,也不要將其透露給任何人。如果您的API密鑰掌握在別人的手中,您的錢就等于被偷了。
Cyberlands的總經理AlexBodryk補充說,每季度輪換您的API密鑰和密碼將有助于防止利用原先的數據泄漏來訪問您的交換帳戶的網絡犯罪分子。“保持警惕,不要回復來自加密交易的任何通信。相反,您可以通過官方渠道與他們聯系。安裝和更新知名供應商的防病軟件。使用密碼管理器來保護您的秘密。切勿以明文形式存儲任何API密鑰或密碼。”Brodyk說。
根據TroyGill、GPEN、threathunter和Zix安全研究經理的說法,由于通過API進行交易具有風險性,因此最好使用專用于此目的的專用個人計算機。“避免連接到任何公共網絡,請勿使用該機器進行瀏覽、發送電子郵件或其他與網絡相關的活動。如果您懷疑自己可能已經暴露了API數據,請立即在交易所中刪除密鑰。”Gill總結道。
Tags:API加密貨幣ENVAPI價格API幣加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣ENV幣ENV價格
來源:環球時報 原標題:十年前用比特幣換披薩的小伙相當于虧掉38億美元,自稱“不后悔” 據《紐約郵報》報道,2010年5月.
1900/1/1 0:00:005月29日晚,新華社發布題為《百倍杠桿!瘋狂的“幣圈”帶來“暴富”還是“爆倉”?》的文章,再次對比特幣等虛擬貨幣在劇烈波動、高杠桿下的爆倉話題進行關注.
1900/1/1 0:00:00游離在監管之外,但有自己的法則,那就是“叢林法則”;渴望監管,希望弱肉不被強食,但又逃離監管,因為夢想一夜暴富。說的就是幣圈和幣圈人.
1900/1/1 0:00:00新華財經上海6月4日電作為核心技術自主創新重要突破口,區塊鏈技術和產業創新發展近年來正獲得加快推動.
1900/1/1 0:00:00原標題:3000萬元遭強平!10萬轉眼變180!投資者講述暴富夢碎,比特幣等虛擬貨幣成“絞肉機”來源:中國證券報過去的一個月,是比特幣歷史上表現最差的一個月。6月5日晚間,比特幣再次閃崩.
1900/1/1 0:00:00來源:北京日報客戶端 比特幣的造富神話正在破滅。5月19日,比特幣連續第五日下跌,一度跌破31000美元。5月19日,比特幣上演了一輪驚現行情.
1900/1/1 0:00:00