暗号通貨の冬の間も、無配慮な暗号通貨ハッカーが存在します。 最近のFTXの侵害により、数百万ドル相当の暗号通貨が損失しました。 ハッカーは、アカウントの取引プラットフォームに関連付けられた API を悪用することにより、仮想通貨トレーダーの FTX アカウントへのアクセスを取得しました。
この攻撃を受けて、自動暗号通貨取引ボット企業 3Commas はセキュリティに関する通知を発行しました。 3commas は、FTX 取引所で DMG 暗号通貨取引ペアの不正取引を行うために使用された特定の FTX API キーを検出した後、措置を講じました。
FTX APIが悪用されました
あるユーザーは、ハッキングの苦情が表面化する前に、自分のアカウントが DMG トークンを 5,000 回以上取引していることを初めて発見しました。 その後、顧客は 160 万ドル相当のBitcoin、FTX トークン、Ethereum、その他の暗号通貨が自分のアカウントから盗まれたことを知りました。
報告によると、さらに3人の犠牲者がいたため、これは孤立した事件ではありませんでした。 FTX側は、このハッキングは取引プラットフォーム3CommasのAPIキーの漏洩に関連していると述べた。
2 人目の FTX ユーザーであるブルース氏は、10 月 22 日の Twitter スレッドで、自分が FTX 攻撃の犠牲者であることを明らかにしました。 彼は、10 月 21 日のdentの結果、150 万ドルを失ったと明らかにした。 Bruce 氏によると、3Commas 句読点を使用したことも聞いたこともありません。 また、過去 2 年間、API キーを使用したことはありませんでした。 私はその秘密を紙に記録したことがありませんでした。
さらに、10 月 18 日と 19 日には悪意のあるプレイヤーが彼のアカウントを使用して DMG を取引したと報告しました。 同氏は、なぜFTXが違法取引に対するリスク管理手順を整備していなかったのか疑問を呈した。
3カンマエクスプロイト分析
3Commas と FTX は、 FTX 上の DMG 取引ペアを使用した不正取引に関するユーザーの申し立てについて共同調査を実施しました。 二人は、DMG 取引が新しい 3Commas アカウントを使用して行われ、「API キーは 3Commas プラットフォームからではなく外部から取得された」と判断しました。
調査の結果、3Commas を装った詐欺 Web サイトが、ユーザーが FTX アカウントに参加する際に API キーをフィッシングするために使用されていたことが明らかになりました。 その後、FTX API キーは違法な DMG 取引を行うために利用されました。 ユーザーのアクティビティに基づいて、FTX と 3Commas の両方が疑わしいアカウントをdent、将来の損失を防ぐために API キーを停止しました。
3Commas はまた、API キーがマルウェアやサードパーティのブラウザ拡張機能を介してユーザーから盗まれたのではないかと考えています。 さらに、3Commas は責任を否定し、影響を受けたユーザー数人は 3Commas の顧客ではなかったし、セキュリティdent3Commas のサービスに起因する可能性はないと述べた。
アカウントを 3Commas に接続し、API が「無効」または「アップグレードが必要」という通知を受け取った FTX ユーザーは、新しい API キーを生成する必要があります。 取引ボット プラットフォームは、セキュリティ通知全体を通じて、顧客データが悪者の手に渡ったことに責任はないことを強調しました。
繰り返して明確にしておきますが、3Commas アカウントのセキュリティ データベースや API キーの侵害はありません。 「これは 3Commas の顧客ではない複数のユーザーに影響を及ぼしている問題であるため、3Commas に起因する API キーの漏洩である可能性はありません。
3カンマ
ユーザーは、アクティブな取引が中断されないように、FTX で新しい API キーを生成し、それを自分の 3Commas アカウントにリンクする機会があります。 3Commas は現在、被害者を支援し、ハッカーに関する追加情報を収集しています。
FTX は Visa と提携して、世界 40 か国でデビット カードを配布しました。 この契約により、FTX の顧客は「手数料ゼロ」かつ年会費無料のデビットカードで商品やサービスの支払いが可能になります。 市場はこのニュースに反応してFTXトークンを7%上昇させ、価格は一時25.62ドルに達しました。
さらに別の暗号ハッキング
OlympusDAO ユーザーは、それまでの数時間で瞬間的な恐怖を経験しました。 ハッカーがだ後、その資金は払い戻されました。 新しい OHM Bonds 製品のtracの欠陥を利用しました
PeckShield によると、「BondFixedExpiryTellertracの引き換え機能は入力を正しくチェックしません。」 しかし、ブロックチェーンセキュリティ事業者は、ボンドプロトコルが問題のあるmaticコントラクトtrac。 脆弱性を発見した後、DAO は Discord チャネルを通じてメンバーにハッキングについて通知しました。
今朝、攻撃者が Bond Protocol での OHM 保証tracから約 30,000 OHM (30 万ドル) を引き出すことができるエクスプロイトが発生しました。 このバグは 3 人の監査人や内部コード レビューによっても発見されず、Immunefi バグ報奨金を通じても報告されませんでした。
公式発表
オリンパスDAOは、時差実施のため影響を受ける資金が制限されていると述べた。 盗まれた金額は、ハッカーが脆弱性を公開していたら得られたかもしれない報奨金 3,300,000 ドルのほんの一部に過ぎません。 DAOチームは当時、問題のあるmatic市場を閉鎖し、影響を受けたユーザーに返金する方法を模索していると述べた。
暗号ハッキングは増加傾向にあり、10月の大部分を費やしてしまいました。 仮想通貨市場は史上最低水準にある。 さらなるハッキングにより、既存の分散型金融市場が不安定化する恐れがあります。 何ができるでしょうか? 仮想通貨投資家は追加の損失に耐えることができるでしょうか?