月亮链 月亮链
Ctrl+D收藏月亮链

API:黑客滥用API密钥窃取大量加密货币,总价值高达数百万美元_ENV价格

作者:

时间:1900/1/1 0:00:00

CyberNews研究人员发现,网络犯罪分子能够滥用加密货币交换API密钥并且在没有被授予提款权利的情况下从受害者的帐户中窃取加密货币。与此同时,超过1000000美元的加密货币被存放在API密钥暴露在公共代码存储库中的账户中。

在过去几年中,随着加密货币市场的爆炸式增长,各大公司开始提供应用程序和服务来帮助交易者简化交易流程。

要使用这些服务,交易者可以通过API密钥在加密货币交易中授予第三方程序访问其个人帐户的权限,API密钥允许这些程序代表他们执行操作,包括在不登录交易所的情况下打开和执行自动交易订单。

每组API密钥都包含两个重要元素:公共密钥和私有密钥,通常称为公钥和私钥。第三方应用程序使用该密钥来签署操作请求,并告知加密货币交换该应用程序有权访问交易者的帐户并执行API密钥支持的操作。

一旦您的API密钥被网络犯罪分子泄露或窃取将会导致灾难性的后果。不过,话虽如此,即使其他人窃取了您的API秘密密钥,他们也不能简单地将您的加密货币余额转移到自己的钱包中,因为默认情况下,加密货币交易所会禁用API提取权限。

Bitbns CEO承认交易所在去年2月遭黑客攻击,但未证实被盗金额:3月2日消息,印度加密交易所Bitbns首席执行官Gaurav Dahake昨日在AMA会议上承认,该交易所确实在13个月前遭到了黑客攻击。但Dahake声称,该系统离线是为了分析异常情况,并不是为了隐藏黑客行为。他还表示,在此类事件发生后,交易所会改善其安全系统,Bitbns在攻击发生后的13个月里一直“无缝”运行。不过Dahake还是没有证实该交易所在攻击中被盗的资产数量。

昨日消息,ZachXBT表示,加密交易所Bitbns隐瞒了去年2月份750万美元黑客攻击事件。[2023/3/2 12:38:39]

但是,在进行威胁情报操作时,我们的研究人员发现,最近几周,在整个黑客论坛中,被盗的加密货币交换API密钥的交易要约似乎一直在稳定增长。

显然,这是一种新兴的犯罪商业模式,“经验丰富的交易者”团队提供了通过利用被盗的API密钥来“清空”加密货币交易帐户的功能。

毫无疑问,这一现象引起了我们的注意。为了帮助加密货币交易用户保护其辛苦赚来的硬币,我们决定对这一新兴趋势展开,并尽可能多地了解威胁参与者如何利用这些API密钥。

数据库公司MongoDB遭网络攻击,黑客索要比特币赎金:金色财经报道,跨平台数据库公司MongoDB遭受了网络攻击,黑客团伙通过擦除其内容渗透了22,900个不安全的数据库。此后,该团伙要求支付比特币以换取数据备份。根据网络安全公司ESET的WeLiveSecurity的说法,如果赎金在两天内没有支付,该团伙威胁将通知负责执行欧盟《通用数据保护条例》(GDPR)的当局。ZDNet发布的一份报告解释称,在攻击中受损的数据库几乎占MongoDB所有数据库的47%。黑客要求每个数据库支付0.015 BTC(约合140美元),因此要求的总金额超过320万美元。[2020/7/3]

我们的发现令人难以置信:犯罪分子似乎正在使用加密货币交易应用程序的被盗API密钥轻松地在所有主要的加密货币交易所上清空受害者的帐户。

更糟糕的是,犯罪分子可以轻易绕过API密钥上的“仅交易”设置,即使没有获得他们的帐户凭据或提款权,也可以从交易者的账户中窃取资金。

网络罪犯如何滥用被盗的API密钥

通常,加密货币交易所向交易者提供三种类型的API权限:

·数据权限,允许API可以读取您的exchange帐户数据,包括未结订单,余额和交易历史记录,而无需对帐户进行任何更改。

·交易权限,允许API代表您执行交易,下达未结订单和已结束订单。

动态 | 比特币钱包Electrum遭受黑客钓鱼攻击,至少1450枚BTC遭窃:据降维安全实验室(johnwick.io)报道,比特币钱包Electrum的用户目前正面临网络钓鱼攻击。黑客通过恶意服务器向Electrum客户端广播消息,提示用户更新至v4.0.0版本,如果用户按照提示安装了此“携带后门的客户端”,则私钥会遭到窃取,所有的数字资产将被盗。截至发稿时,伪造Electrum升级提示的钓鱼攻击已盗窃至少1450枚BTC,价值约1160万美元。降维安全实验室在此提示Electrum低于3.3.4的版本易遭受此类钓鱼攻击,使用Electrum钱包的用户请通过官方网站(electrum.org)更新至最新版本Electrum3.3.8,目前官方尚未发布v4.0.0版本,请勿使用提示信息中的链接进行更新,以免遭受资产损失。[2019/9/19]

·提款许可,允许API从您的交换帐户中提取加密货币并将其转移到另一个位置。启用此权限后,应用程序可以将您的资金转移到另一个钱包,而无需您的许可。

出于安全原因,默认情况下,加密货币交易所禁用取款权限。话虽如此,在网络犯罪论坛上发布的大多数广告都声称,其所有者最多可以提取受害者的加密货币余额的80%,然后将其与被盗的API密钥的所有者进行分割。

(黑客论坛上API密钥攻击服务广告的一个例子:“有经验的交易者”根据交易所的不同,可以从被盗用的交易帐户中提取多达80%的资金。)

动态 | EOS竞猜游戏TRUSTBET遭黑客攻击 损失11,501个EOS:据 PeckShield 态势感知平台12月19日数据显示:昨天夜间,23:35—23:40之间,黑客(panming12345)向EOS竞猜类游戏TRUSTBET游戏合约(trustbetgame)发起攻击,共计获利11,501个EOS,随后分两次将攻击所得的EOS转账至火币交易所账号(huobideposit)。根据当前EOS市场价格18元估算,黑客此次攻击共计获利超20万元。目前,该游戏已暂停运营。

PeckShield 安全人员初步分析发现,黑客发起攻击利用的是重放攻击漏洞。需要说明的是,这是一种最早出现于EOS DApp生态初期的攻击形态,由于开发者设计的开奖随机算法存在严重缺陷,使得攻击者可利用合约漏洞重复开奖,是一种较低级的错误。PeckShield 在此提醒广大游戏开发者须加强合约开发规范,避免造成不必要的数字资产损失。[2018/12/19]

这会让您认为,这些广告背后的犯罪服务提供商将需要已被授予撤回权限的被盗API密钥。但是,在进行了一系列测试之后,我们甚至找不到一个启用了撤回权的待售的被盗API密钥。

犯罪分子能够在没有提款权的情况下提款吗?

不幸的是,为了从交易账户中窃取资金,威胁行为者甚至不需要直接提取资金:通过在适当权限下代表受害者进行交易,他们只需通过与罪犯自己建立的机器人进行无利可图的交易,就可以将余额卖掉。

Bithumb被盗过程还原:黑客利用百倍交易费不计成本加速转账,疑似已累计转移1900BTC:Chaindigg通过对Bithumb比特币流向分析发现,从19日23点07分,黑客利用其已经掌握的Bithumb热钱包地址私钥,将Bithumb热钱包中的比特币不断转移至自己不同的钱包地址。为了加快交易速度,使交易尽快得到确认,黑客将每一笔转账交易的交易Fee都设置为0.1BTC,较正常交易Fee高出百倍。半小时后,Bithumb察觉了其热钱包动向的异常行为。自此,Bithumb与黑客的数字资产转移竞赛拉开序幕。但由于黑客不计成本,矿工在对同一个地址中的比特币进行交易时,会优先确认交易Fee高的交易,因此,黑客占得绝对先机。截止20日15点45分,疑似黑客已经累计从Bithumb转移1900BTC。[2018/6/20]

在对网络犯罪分子使用的被盗交易所API密钥滥用技术进行调查期间,我们了解到,威胁行为者主要采用两种API密钥利用方法从交易商那里窃取资金:“sellwalls”买断和提价。

注意:我们已经在Binance加密货币交易所上的自己的帐户上成功地测试了这些方法,似乎所有流行的加密货币交易所上的帐户都可能以这种方式被利用。

购买“sellwalls”

“sellwalls”是在股票和加密货币市场中都采用的一种常见的市场操纵技术。在加密货币世界中,这些是市场操纵者人为创造的大规模市场卖出指令,目的是降低加密货币价格或将其保持在最大阈值以下以便宜的价格购买大量硬币。

在许多情况下,这些巨大的订单一次只会出现几分钟甚至几秒钟,然后被完全删除。

我们的调查发现,网络犯罪分子使用相似的“sellwalls”技术,但也略微有所不同。在这种情况下,“sellwalls”是由威胁参与者使用泄露的交易者帐户创建的,这些帐户是使用他们窃取的API密钥设置的。

根据CyberNews研究人员MartynasVareikis的说法,为了引发价格波动,犯罪分子设置了交易机器人,以开立许多低于市场价值的小型卖出订单,如果受害者的账户余额足够大,则开立一个大型卖出订单。与此同时,同一机器人就为受害者被迫“出售”的硬币打开了自动购买订单。

“这在加密货币交易所的买/卖定单图表中创建了一个可见的'sellwall',合法交易机器人通常只能在交易余额耗尽之前买入约20%的'sellwall',剩下的80%则留给犯罪分子设立的交易机器人。”Vareikis说。

在以令人难以置信的低价完成一个销售订单后,另一个订单立即被设置为销售更多硬币,这将给受害者造成更大的损失。这个过程不断的重复,最终将受害者的全部账户余额以压低的价格逐步出售给威胁参与者的交易机器人。

这样,受害人的资金可以在几毫秒内完全蒸发,这是执行这种自动交易订单所需要的全部时间。

提价

价格上涨是罪犯分子常用的第二种利用被盗API密钥的技术。这种方法涉及购买交易量非常少的廉价硬币,短暂地提高其价格,然后以勒索的价格将其卖回给受害者。

犯罪分子在利用受害者的帐户之前,先在自己的中间人帐户中存储一种非常便宜、不怎么流行的加密货币,以此展开他们的行动。

受害者的帐户中约有80%钱用于针对同一加密货币发起大笔购买订单。低交易量使网络犯罪分子可以通过发起大量购买订单来大幅提高货币的价格。

同时,犯罪分子利用中间人账户以较高的价格向受害者出售价格膨胀的硬币。订单执行后,交易量和价格恢复正常,给受害者留下了一堆几乎一文不值的硬币,而这些都是他们被迫以离谱的价格从威胁行为者那里购买的。

网络罪犯如何获取被盗的API密钥

网络犯罪分子可以通过多种方式获取他人的API密钥,而无需在其设备上安装恶意软件或间谍软件。这包括扫描可公开访问的Web应用程序环境文件和公共代码存储库以查找泄漏的私钥。

大多数Web应用程序都使用环境(ENV)文件来存储框架设置,这些设置对于应用程序的工作是至关重要的,并且在某些情况下可能包含API密钥。在大多数情况下,这些文件是被加密的。但是,有时它们不受保护,这意味着包括网络犯罪分子在内的任何人都可以访问其内容并提取其中发现的任何有用信息。

与ENV文件类似,存储在公共代码存储库中的文件可能包含公开的身份验证token。诸如GitHub之类的公共存储库因其成为网络犯罪分子的金矿而臭名昭著,其中一些存储了成千上万个泄漏的凭证文件以及API密钥。

UniversityofAdvancedTechnology的首席网络讲师AaronJones说,API密钥很有价值,这使它们备受网络犯罪分子的追捧。“永远不要将API密钥推送到Github或Gitlab之类的网站上,您应该将它从您的应用程序中抽象出来,放在一个已添加到gitignore文件中的文件中,”Jones补充说。

“犯罪分子通常会以一种简单的方式来获取API密钥,比如通过易受攻击的S3Bucket,硬编码到github发布的源代码,甚至是网络钓鱼。你会惊讶地发现这种事情经常发生。根据定义,API访问是一个网络事件。记录并分析您的活动。”onShoreSecurity的创始人兼首席执行官StelValavani说,“对于API密钥之类的顶级产品来说尤其如此。”

我们在调查期间进行的测试表明,平均而言,在公共存储库中找到的交易API密钥属于持有价值约5,000美元加密货币的帐户,其中最高的帐户余额为154,000美元,它启用了交易权。

在公共代码存储库中公开了API密钥的交易账户的总净资产超过1,000,000美元的加密货币。

(加密货币交易机器人公开提交的源代码示例,每个人都可以看到二进制API密钥)

尽管我们在调查中没有发现暴露的API密钥启用了提款权,但仍有超过90%的用户授予了交易权限,这将使网络犯罪分子可以轻松清空受害者的交易帐户。

如何保护您的API密钥

如果您是加密货币交易者,则可以采取一些简单的步骤来保护自己的API密钥,以免被那些在黑客论坛上宣传其服务的“经验丰富的交易者”滥用:

为您的IP地址列出白名单。主要的加密货币交易所允许将IP地址列入白名单以用于API密钥使用。启用此功能将阻止大多数犯罪分子利用您的余额进行交易,只要他们无法访问您的交易机器人控制面板即可。

将您的API密钥视为加密货币钱包的私钥。即,不要将它们存储在硬盘上,也不要将其透露给任何人。如果您的API密钥掌握在别人的手中,您的钱就等于被偷了。

Cyberlands的总经理AlexBodryk补充说,每季度轮换您的API密钥和密码将有助于防止利用原先的数据泄漏来访问您的交换帐户的网络犯罪分子。“保持警惕,不要回复来自加密交易的任何通信。相反,您可以通过官方渠道与他们联系。安装和更新知名供应商的防病软件。使用密码管理器来保护您的秘密。切勿以明文形式存储任何API密钥或密码。”Brodyk说。

根据TroyGill、GPEN、threathunter和Zix安全研究经理的说法,由于通过API进行交易具有风险性,因此最好使用专用于此目的的专用个人计算机。“避免连接到任何公共网络,请勿使用该机器进行浏览、发送电子邮件或其他与网络相关的活动。如果您怀疑自己可能已经暴露了API数据,请立即在交易所中删除密钥。”Gill总结道。

标签:API加密货币ENVAPI价格API币加密货币是什么意思啊加密货币市场还有未来吗知乎全球十大加密货币ENV币ENV价格

币安app下载热门资讯
虚拟币:买了虚拟币却卖不出去!揭秘“百倍币”局_区块链存证怎么弄

最近一段时间,虚拟货币的监管力度不断升级。5月21日,国务院金融稳定发展委员会明确提出要“打击比特币挖矿和交易行为,坚决防范个体风险向社会领域传递”.

1900/1/1 0:00:00
比特币:3000万元遭强平!10万转眼变180!投资者讲述暴富梦碎,比特币等虚拟货币成“绞肉机”_CEO价格

来源:中国证券报 作者:郑雅烁彭扬   过去的一个月,是比特币历史上表现最差的一个月。  6月5日晚间,比特币再次闪崩.

1900/1/1 0:00:00
马斯克:只生儿子的世界首富,3婚,6个儿子,一句话颠覆比特币_比特币

文/文刀贰 2011年一个学生在网上问过这样一个问题:“我有6000元,做什么投资比较好”。有一个人给了他一个答案:比特币。 果然在2020年,比特币大涨.

1900/1/1 0:00:00
狗狗币:马斯克:选择狗狗币因为有狗和“表情包”,其他币没有_马斯克

来源:澎湃新闻 01:45   记者/崔珠珠   北京时间5月25日,在被推特用户问及为什么在以太坊2.0、Cardano、Solana、Polkadot、IOTA或其他更便宜的加密货币中选择狗.

1900/1/1 0:00:00
数字人:银行ATM能取现数字人民币了_数字人民币推广一天能挣多少钱

北京商报讯家门口的银行ATM机加上了一个新功能,可以存取现数字人民币!你还不知道?北京新一轮数字人民币试点正在如火如荼进行,现在工行、农行都有北京的网点上线了数字人民币ATM兑换功能.

1900/1/1 0:00:00
:琥珀圈永久的记忆,它创造了世界上的琥珀之路,它让琥珀声名远播_

我们今天说说丹麦,它是第1个发现琥珀的国家,丹麦人认为琥珀是人鱼的眼泪,在2000~5000万年之前,丹麦的很多地方经历了从陆地到海洋的地壳变迁,森林中的大量的树脂就成为了现在的珍宝——琥珀.

1900/1/1 0:00:00