Les utilisateurs de FTX perdent des millions à cause de l'exploit de l'API 3Commas

Des pirates informatiques inconsidérés persistent pendant l'hiver des crypto-monnaies. La récente faille sur FTX a entraîné la perte de millions de dollars de crypto-monnaies. Les pirates ont eu accès au compte FTX d'un trader en crypto-monnaies en exploitant une API liée à la plateforme de trading du compte.
La société de robots de trading crypto automatisés 3Commas a émis un avis de sécurité à la suite de l'attaque. 3commas a pris des mesures après avoir détecté certaines clés API FTX utilisées pour effectuer des transactions illicites pour les paires de trading crypto DMG sur la bourse FTX.
API FTX exploitée
Un utilisateur a d'abord découvert que son compte échangeait des jetons DMG plus de 5 000 fois avant que les plaintes de piratage ne fassent surface. Le client a ensuite appris que plus de 1,6 million de dollars en Bitcoin, en jetons FTX, en Ethereum et en d'autres crypto-monnaies avaient été volés sur son compte.
Une nouvelle méthode de vol de cryptomonnaies fait son apparition : le contra-trading. Le 19 octobre, un utilisateur a soudainement découvert que son compte FTX utilisant l'API 3commas tradait du DMG plus de 5 000 fois, volant près de 1,6 million de dollars tels que du BTC, de l'ETH, du FTT, etc. sur son compte. pic.twitter.com/cpxoCSdLiZ
— Wu Blockchain (@WuBlockchain) 21 octobre 2022
Les rapports indiquent qu'il ne s'agit pas d'un incident isolé, puisqu'il y a eu trois autres victimes. De son côté, FTX a déclaré que le piratage était lié à la fuite des clés API de la plateforme de trading 3Commas.
Bruce, un autre utilisateur de FTX, a révélé dans un fil Twitter du 22 octobre qu'il avait été victime de l'attaque de FTX. Il a révélé avoir perdu 1,5 million de dollars à la suite de l'incident du 21 octobre. Selon Bruce, il n'a jamais utilisé ni même entendu parler du signe de ponctuation 3Commas. De plus, je n'avais jamais utilisé la clé API au cours des deux années précédentes. Je n'avais jamais consigné le secret sur papier.
Bonjour Ftx, je m'appelle Bruce et je suis l'une des victimes de l'exploit API 3Commas sur FTX. J'ai perdu environ 1,5 million de dollars dans l'attaque (en comptant la valeur marchande du BTC). Cela s'est produit le 21, heure de Pékin. pic.twitter.com/sttAJnoRAU
— desertpower (@littlesand2) 22 octobre 2022
Il a également signalé que les 18 et 19 octobre, des joueurs malveillants ont échangé des DMG en utilisant son compte. Il s'est demandé pourquoi FTX n'avait pas mis en place de procédures de gestion des risques pour les transactions illégales.
Analyse de l'exploit 3Commas
3Commas et FTX ont mené une enquête collaborative sur les réclamations des utilisateurs concernant des transactions frauduleuses utilisant des paires de trading DMG sur FTX. Le duo a déterminé que les transactions DMG ont été effectuées à l'aide de nouveaux comptes 3Commas et que « les clés API n'ont pas été obtenues à partir de la plateforme 3Commas mais de l'extérieur de celle-ci ».
L'enquête a révélé que des sites Web frauduleux se faisant passer pour 3Commas ont été utilisés pour hameçonner les clés API des utilisateurs lorsqu'ils rejoignaient leurs comptes FTX. Les clés API FTX ont ensuite été utilisées pour effectuer des transactions DMG illégales. Sur la base de l'activité des utilisateurs, FTX et 3Commas ont identifié les comptes suspects et ont bloqué les clés API pour éviter de futures pertes.
Mise à jour de sécurité 3Commas & FTX 17h30 GMT – Plusieurs utilisateurs concernés n’ont jamais été clients de 3Commas et il est impossible que la faille de sécurité provienne des services de 3Commas. L’enquête se poursuit : https://t.co/ivdHo10mSr
— 3Commas (@3commas_io) 22 octobre 2022
3Commas soupçonne également que des clés API ont été volées aux utilisateurs via des logiciels malveillants et des extensions de navigateur tierces. En outre, 3Commas a nié toute responsabilité, affirmant que plusieurs utilisateurs concernés n'avaient jamais été clients de 3Commas et qu'il n'y avait aucune chance que l'incident de sécurité soit dû aux services de 3Commas.
Les utilisateurs de FTX qui ont connecté leurs comptes avec 3Commas et ont reçu une notification indiquant que leur API est « invalide » ou « doit être mise à niveau » doivent générer de nouvelles clés API. La plateforme de trading bot a souligné tout au long de l'avis de sécurité qu'elle n'était pas responsable du fait que les données des clients tombent entre de mauvaises mains.
Pour réitérer et clarifier, il n’y a eu aucune violation des bases de données de sécurité des comptes 3Commas ou des clés API. « Il s’agit d’un problème qui a affecté plusieurs utilisateurs qui n’ont jamais été clients de 3Commas, il n’y a donc aucune possibilité qu’il s’agisse d’une fuite de clés API provenant de 3Commas.
3 virgules
Les utilisateurs ont la possibilité de générer une nouvelle clé API sur FTX et de la lier à leur compte 3Commas afin que les transactions actives ne soient pas interrompues. 3Commas assiste actuellement les victimes et recueille des informations supplémentaires sur les pirates.
FTX s'est associé à Visa pour distribuer des cartes de débit dans 40 pays à travers le monde. L'accord permet aux clients de FTX de payer des biens et des services avec des cartes de débit qui incluent « zéro frais » et aucun frais annuel. Le marché a réagi à la nouvelle en faisant grimper le jeton FTX de 7 %, atteignant brièvement un prix de 25,62 $.
Encore un autre piratage de crypto-monnaie
Les utilisateurs d'OlympusDAO ont connu une frayeur momentanée au cours des heures précédentes. Après qu'un pirate informatique a volé 30 000 jetons OHM, soit l'équivalent de 300 000 dollars, les fonds ont été remboursés. Le pirate semble avoir porté un chapeau blanc et a utilisé une faille dans le contrat intelligent pour le nouveau produit OHM Bonds.
Selon PeckShield, « la fonction de rachat du contrat BondFixedExpiryTeller ne vérifie pas correctement les entrées ». Cependant, l'entreprise de sécurité blockchain a déclaré que Bond Protocol avait écrit le contrat intelligent problématique. Après avoir découvert la vulnérabilité, la DAO a informé les membres du piratage via le canal Discord.
Ce matin, un exploit a eu lieu grâce auquel l'attaquant a pu retirer environ 30 000 OHM (300 000 $) du contrat d'obligation OHM de Bond Protocol. Ce bug n'a pas été découvert par trois auditeurs, ni par notre revue de code interne, ni signalé via notre bug bounty Immunefi.
Annonce officielle
OlympusDAO a déclaré que les fonds concernés ont été restreints en raison de la mise en œuvre échelonnée. La somme volée représente une petite fraction de la prime de 3 300 000 $ que le pirate aurait pu gagner s'il avait révélé la vulnérabilité. L'équipe DAO a déclaré à l'époque qu'elle avait fermé les marchés problématiques et cherchait maintenant des moyens de rembourser les utilisateurs concernés.
Le piratage de cryptomonnaies est en plein essor et a occupé la majeure partie du mois d'octobre. Le marché des cryptomonnaies est à son plus bas niveau. De nouveaux piratages menacent de déstabiliser le marché financier décentralisé existant. Que peut-on faire ? Les investisseurs en cryptomonnaies peuvent-ils supporter des pertes supplémentaires ?