黑客濫用API密鑰竊取大量加密貨幣，總價值高達數百萬美元_API

CyberNews研究人員發現，網絡犯罪分子能夠濫用加密貨幣交換API密鑰并且在沒有被授予提款權利的情況下從受害者的帳戶中竊取加密貨幣。與此同時，超過1000000美元的加密貨幣被存放在API密鑰暴露在公共代碼存儲庫中的賬戶中。

在過去幾年中，隨著加密貨幣市場的爆炸式增長，各大公司開始提供應用程序和服務來幫助交易者簡化交易流程。

要使用這些服務，交易者可以通過API密鑰在加密貨幣交易中授予第三方程序訪問其個人帳戶的權限，API密鑰允許這些程序代表他們執行操作，包括在不登錄交易所的情況下打開和執行自動交易訂單。

每組API密鑰都包含兩個重要元素：公共密鑰和私有密鑰，通常稱為公鑰和私鑰。第三方應用程序使用該密鑰來簽署操作請求，并告知加密貨幣交換該應用程序有權訪問交易者的帳戶并執行API密鑰支持的操作。

一旦您的API密鑰被網絡犯罪分子泄露或竊取將會導致災難性的后果。不過，話雖如此，即使其他人竊取了您的API秘密密鑰，他們也不能簡單地將您的加密貨幣余額轉移到自己的錢包中，因為默認情況下，加密貨幣交易所會禁用API提取權限。

Dego Finance發布公告稱被黑客攻擊，DEX上DEGO流動性耗盡:2 月 10 日，Dego Finance 發布公告稱被黑客攻擊，現 UniSwap 和 PancakeSwap 上的 DEGO 流動性已被耗盡。團隊目前已緊急聯系 Binance 等 CEX 運營團隊關閉 DEGO 存款，以阻止黑客拋售，造成進一步損失。團隊稱正在與知名安全團隊討論追蹤黑客，并挽回損失。[2022/2/10 9:42:35]

但是，在進行威脅情報操作時，我們的研究人員發現，最近幾周，在整個黑客論壇中，被盜的加密貨幣交換API密鑰的交易要約似乎一直在穩定增長。

顯然，這是一種新興的犯罪商業模式，“經驗豐富的交易者”團隊提供了通過利用被盜的API密鑰來“清空”加密貨幣交易帳戶的功能。

毫無疑問，這一現象引起了我們的注意。為了幫助加密貨幣交易用戶保護其辛苦賺來的硬幣，我們決定對這一新興趨勢展開，并盡可能多地了解威脅參與者如何利用這些API密鑰。

我們的發現令人難以置信：犯罪分子似乎正在使用加密貨幣交易應用程序的被盜API密鑰輕松地在所有主要的加密貨幣交易所上清空受害者的帳戶。

火幣波卡生態基金贊助活動“Substrate黑客馬拉松”結束:據官方消息，2020年12月19-20日，全球極客組織和開發者平臺 DoraHacks 在杭州組織了今年國內首場Substrate黑客馬拉松（Hackathon），來自全國各地近百位極客在波卡生態中探索開發新技術、新產品，并誕生了10個波卡生態新項目。火幣波卡生態基金與波卡國庫為本次活動提供了價值超過1萬美金的Grant獎金用于激勵本場活動的優勝團隊。

據火幣波卡生態大使陳樂介紹，“火幣波卡生態基金規模有500萬美元，主要為波卡生態中的開發者、活動發起者、內容創作者、波卡大使等任何計劃為波卡生態做貢獻的個人和組織提供贊助。Substrate黑客馬拉松作為火幣波卡生態基金贊助的首個項目，是一個非常好的開始，說明了基金對于技術領域的重視和支持。”[2020/12/22 16:04:52]

更糟糕的是，犯罪分子可以輕易繞過API密鑰上的“僅交易”設置，即使沒有獲得他們的帳戶憑據或提款權，也可以從交易者的賬戶中竊取資金。

網絡罪犯如何濫用被盜的API密鑰

通常，加密貨幣交易所向交易者提供三種類型的API權限：

·數據權限，允許API可以讀取您的exchange帳戶數據，包括未結訂單，余額和交易歷史記錄，而無需對帳戶進行任何更改。

一黑客疑似侵入俄羅斯外交部官推賬戶，為某“支付數據庫”要價66 BTC:7月2日，黑客疑似侵入了俄羅斯外交部的官方推特賬戶。黑客通過該賬戶發帖出售某失竊“支付數據庫”，要價66 BTC。該數據庫據稱包含2020年6月俄羅斯聯邦公共服務門戶網站的游客支付詳情。

然而，目前沒有證據表明該黑客是否真正掌握該數據庫。當天晚些時候，俄羅斯外交部重新控制了該賬戶并發推稱：“黑客侵入我們賬戶的后果已經消除，7月2日上午，黑客在DSCC上發布了一段與俄羅斯外交部無關的‘假文件’。賬戶目前運行正常。”（福布斯）[2020/7/5]

·交易權限，允許API代表您執行交易，下達未結訂單和已結束訂單。

·提款許可，允許API從您的交換帳戶中提取加密貨幣并將其轉移到另一個位置。啟用此權限后，應用程序可以將您的資金轉移到另一個錢包，而無需您的許可。

出于安全原因，默認情況下，加密貨幣交易所禁用取款權限。話雖如此，在網絡犯罪論壇上發布的大多數廣告都聲稱，其所有者最多可以提取受害者的加密貨幣余額的80%，然后將其與被盜的API密鑰的所有者進行分割。

(黑客論壇上API密鑰攻擊服務廣告的一個例子：“有經驗的交易者”根據交易所的不同，可以從被盜用的交易帳戶中提取多達80%的資金。)

這會讓您認為，這些廣告背后的犯罪服務提供商將需要已被授予撤回權限的被盜API密鑰。但是，在進行了一系列測試之后，我們甚至找不到一個啟用了撤回權的待售的被盜API密鑰。

加密投資基金遭遇黑客攻擊 26.6萬名用戶數據被泄露:一家加密投資基金Trident Crypto Fund遭遇重大數據泄露，這是加密貨幣領域遭遇的最新一起隱私泄露事件。網絡安全公司DeviceLock的首席技術官Ashot Oganesyan表示，在該基金注冊的約26.6萬人的個人數據在該事件發生后被發布在多個文件共享網站上。Oganesyan說，被盜的數據庫包括電子郵件地址、手機號碼、加密密碼和IP地址，在2月20日發布在網上，同時還公布了網站的漏洞描述，這使得這次攻擊成為可能。他補充說，3月3日，不知名的黑客解密并公布了12萬個加密的數據集。該俄羅斯媒體聯系了數據庫中的一位用戶，他證實自己與Trident Crypto Fund有關聯，不過他只注冊了該公司主辦的一個研討會，沒有投資。該基金沒有在網站上列出其團隊成員，也沒有在LinkedIn上露面。目前還不清楚該基金的注冊地或具體位置。（Coindesk）[2020/3/5]

犯罪分子能夠在沒有提款權的情況下提款嗎?

不幸的是，為了從交易賬戶中竊取資金，威脅行為者甚至不需要直接提取資金：通過在適當權限下代表受害者進行交易，他們只需通過與罪犯自己建立的機器人進行無利可圖的交易，就可以將余額賣掉。

在對網絡犯罪分子使用的被盜交易所API密鑰濫用技術進行調查期間，我們了解到，威脅行為者主要采用兩種API密鑰利用方法從交易商那里竊取資金：“sellwalls”買斷和提價。

國際黑客比特幣洗錢案告破，5年盜取銀行逾10億美元:歐洲刑警組織(Europol)透露，一個國際網絡犯罪團伙通過惡意軟件控制自動取款機（ATM）按其需要吐鈔，從多家銀行竊取了10多億美元，并一直利用比特幣洗錢。在來自世界各地的調查人員合作下，這位老謀深算的犯罪團伙主謀被捕。[2018/3/28]

注意：我們已經在Binance加密貨幣交易所上的自己的帳戶上成功地測試了這些方法，似乎所有流行的加密貨幣交易所上的帳戶都可能以這種方式被利用。

購買“sellwalls”

“sellwalls”是在股票和加密貨幣市場中都采用的一種常見的市場操縱技術。在加密貨幣世界中，這些是市場操縱者人為創造的大規模市場賣出指令，目的是降低加密貨幣價格或將其保持在最大閾值以下以便宜的價格購買大量硬幣。

在許多情況下，這些巨大的訂單一次只會出現幾分鐘甚至幾秒鐘，然后被完全刪除。

我們的調查發現，網絡犯罪分子使用相似的“sellwalls”技術，但也略微有所不同。在這種情況下，“sellwalls”是由威脅參與者使用泄露的交易者帳戶創建的，這些帳戶是使用他們竊取的API密鑰設置的。

根據CyberNews研究人員MartynasVareikis的說法，為了引發價格波動，犯罪分子設置了交易機器人，以開立許多低于市場價值的小型賣出訂單，如果受害者的賬戶余額足夠大，則開立一個大型賣出訂單。與此同時，同一機器人就為受害者被迫“出售”的硬幣打開了自動購買訂單。

“這在加密貨幣交易所的買/賣定單圖表中創建了一個可見的'sellwall'，合法交易機器人通常只能在交易余額耗盡之前買入約20%的'sellwall'，剩下的80%則留給犯罪分子設立的交易機器人。”Vareikis說。

在以令人難以置信的低價完成一個銷售訂單后，另一個訂單立即被設置為銷售更多硬幣，這將給受害者造成更大的損失。這個過程不斷的重復，最終將受害者的全部賬戶余額以壓低的價格逐步出售給威脅參與者的交易機器人。

這樣，受害人的資金可以在幾毫秒內完全蒸發，這是執行這種自動交易訂單所需要的全部時間。

提價

價格上漲是罪犯分子常用的第二種利用被盜API密鑰的技術。這種方法涉及購買交易量非常少的廉價硬幣，短暫地提高其價格，然后以勒索的價格將其賣回給受害者。

犯罪分子在利用受害者的帳戶之前，先在自己的中間人帳戶中存儲一種非常便宜、不怎么流行的加密貨幣，以此展開他們的行動。

受害者的帳戶中約有80%錢用于針對同一加密貨幣發起大筆購買訂單。低交易量使網絡犯罪分子可以通過發起大量購買訂單來大幅提高貨幣的價格。

同時，犯罪分子利用中間人賬戶以較高的價格向受害者出售價格膨脹的硬幣。訂單執行后，交易量和價格恢復正常，給受害者留下了一堆幾乎一文不值的硬幣，而這些都是他們被迫以離譜的價格從威脅行為者那里購買的。

網絡罪犯如何獲取被盜的API密鑰

網絡犯罪分子可以通過多種方式獲取他人的API密鑰，而無需在其設備上安裝惡意軟件或間諜軟件。這包括掃描可公開訪問的Web應用程序環境文件和公共代碼存儲庫以查找泄漏的私鑰。

大多數Web應用程序都使用環境(ENV)文件來存儲框架設置，這些設置對于應用程序的工作是至關重要的，并且在某些情況下可能包含API密鑰。在大多數情況下，這些文件是被加密的。但是，有時它們不受保護，這意味著包括網絡犯罪分子在內的任何人都可以訪問其內容并提取其中發現的任何有用信息。

與ENV文件類似，存儲在公共代碼存儲庫中的文件可能包含公開的身份驗證token。諸如GitHub之類的公共存儲庫因其成為網絡犯罪分子的金礦而臭名昭著，其中一些存儲了成千上萬個泄漏的憑證文件以及API密鑰。

UniversityofAdvancedTechnology的首席網絡講師AaronJones說，API密鑰很有價值，這使它們備受網絡犯罪分子的追捧。“永遠不要將API密鑰推送到Github或Gitlab之類的網站上，您應該將它從您的應用程序中抽象出來，放在一個已添加到gitignore文件中的文件中，”Jones補充說。

“犯罪分子通常會以一種簡單的方式來獲取API密鑰，比如通過易受攻擊的S3Bucket，硬編碼到github發布的源代碼，甚至是網絡釣魚。你會驚訝地發現這種事情經常發生。根據定義，API訪問是一個網絡事件。記錄并分析您的活動。”onShoreSecurity的創始人兼首席執行官StelValavani說，“對于API密鑰之類的頂級產品來說尤其如此。”

我們在調查期間進行的測試表明，平均而言，在公共存儲庫中找到的交易API密鑰屬于持有價值約5,000美元加密貨幣的帳戶，其中最高的帳戶余額為154,000美元，它啟用了交易權。

在公共代碼存儲庫中公開了API密鑰的交易賬戶的總凈資產超過1,000,000美元的加密貨幣。

(加密貨幣交易機器人公開提交的源代碼示例，每個人都可以看到二進制API密鑰)

盡管我們在調查中沒有發現暴露的API密鑰啟用了提款權，但仍有超過90%的用戶授予了交易權限，這將使網絡犯罪分子可以輕松清空受害者的交易帳戶。

如何保護您的API密鑰

如果您是加密貨幣交易者，則可以采取一些簡單的步驟來保護自己的API密鑰，以免被那些在黑客論壇上宣傳其服務的“經驗豐富的交易者”濫用：

為您的IP地址列出白名單。主要的加密貨幣交易所允許將IP地址列入白名單以用于API密鑰使用。啟用此功能將阻止大多數犯罪分子利用您的余額進行交易，只要他們無法訪問您的交易機器人控制面板即可。

將您的API密鑰視為加密貨幣錢包的私鑰。即，不要將它們存儲在硬盤上，也不要將其透露給任何人。如果您的API密鑰掌握在別人的手中，您的錢就等于被偷了。

Cyberlands的總經理AlexBodryk補充說，每季度輪換您的API密鑰和密碼將有助于防止利用原先的數據泄漏來訪問您的交換帳戶的網絡犯罪分子。“保持警惕，不要回復來自加密交易的任何通信。相反，您可以通過官方渠道與他們聯系。安裝和更新知名供應商的防病軟件。使用密碼管理器來保護您的秘密。切勿以明文形式存儲任何API密鑰或密碼。”Brodyk說。

根據TroyGill、GPEN、threathunter和Zix安全研究經理的說法，由于通過API進行交易具有風險性，因此最好使用專用于此目的的專用個人計算機。“避免連接到任何公共網絡，請勿使用該機器進行瀏覽、發送電子郵件或其他與網絡相關的活動。如果您懷疑自己可能已經暴露了API數據，請立即在交易所中刪除密鑰。”Gill總結道。

Tags：API加密貨幣ENVAPI價格API幣加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣ENV幣ENV價格

POL幣最新價格