FTX 回應 報告 關於3comma,自動交易用戶在其平台上使用的網站。加密貨幣交易所首席執行官Sam Bankman Fried 表示,不良行為者使用網絡釣魚計劃竊取關鍵信息和數百萬美元的加密貨幣。
週末,吳區塊鏈 報導 幾個3commas 用戶聲稱由於對FTX 的“反向交易”攻擊而遭受巨額損失。不良行為者接管了用戶的API 密鑰,並能夠在他們不知情的情況下強迫他們設置職位。
黑客使用DMG、MER 和PORT 等市值較低的加密貨幣,因為其USDT 交易對的流動性不足。通過向這些貨幣對注入資金,不良行為者“反擊”既定頭寸,清算對手方並竊取他們的資金。
其中一名受害者Wu Blockchain 表示,他們從未使用或註冊過3commas,其他人為FTX 創建了API 密鑰,但停止使用該服務。然而,用戶從未刪除這些密鑰,這些密鑰後來成為了壞人的財產。
API Key 是一種機制,使3commas 能夠與加密交換平台進行交互,以允許交易機器人根據特定的參數和策略進行操作。黑客通過接管這些密鑰來訪問用戶錢包中的資金。 “櫃檯交易”攻擊是一種將它們從錢包轉移到攻擊者的簡單方法。
除了FTX 受到API KEY 洩露的攻擊, @x_explore_eth 發現 @幣安美國 也同樣遭到攻擊,1053 ETH 被盜,SYS/USD 對被用於對沖交易; 以及針對Bittrex 的攻擊,301 ETH 被盜,使用了NXT/BTC 對。 https://t.co/KCBmJFRAIE https://t.co/6fz0tQBPHQ
— 吳區塊鏈(@WuBlockchain) 2022 年10 月24 日
FTX 對3Commas 網絡釣魚詐騙負責
該報告記錄了至少四名這次襲擊的受害者,其中一名被確認為“布魯斯”,聲稱從10 月18 日至21 日損失了150 萬美元。其他受害者損失了超過100 比特幣。 Sam Bankman Fried 將該事件歸類為“令人沮喪”。通過推特,他 說:
我們基本上已經消滅了試圖通過偽裝成FTX 來釣魚用戶的網站。但我們無法修復冒充*其他*服務的虛假網站。一些用戶不小心在虛假的其他網站上註冊,包括3Commas。他們提供了他們的FTX api 密鑰來使用網站的交易工具。其他用戶可能通過其他方法被釣魚。但無論如何,這些用戶被第三方攻擊者利用。
雖然承認攻擊不在他們手中,但FTX 首席執行官表示,公司將通過讓受害者完整而承擔責任。加密貨幣交易所將彌補受害者總計約600 萬美元的損失。
Bankman Fried 澄清說,這項措施僅適用於FTX 賬戶,並且只會實施“這一次”。此外,如果攻擊者在接下來的24 小時內歸還95% 的被盜資金,該高管將“赦免”攻擊者。此截止日期將在接下來的六個小時內結束。執行官說:
(…) 這種特殊情況,我們將賠償受影響的用戶。這是一次性的事情,以後我們不會再這樣做了。這不是先例。我們不會養成補償被其他公司的假冒版本釣魚使用的習慣!