Cyber??News研究人员发现,网络犯罪分子能够滥用加密货币交换API密钥并从受害者的帐户中窃取而无需授予提款权加密货币。与此同时,超过1,000,000美元的加密货币被存入其API密钥暴露在公共代码存储库中的账户中。在过去几年中,随着加密货币市场的爆炸式增长,公司开始提供应用程序和服务来帮助交易者简化交易流程。为了使用这些服务,交易者通过API密钥授予第三方程序访问他们在加密货币交易所的个人账户的权限,这允许这些程序代表他们执行操作,包括在不登录交易所的情况下开立和关闭账户。执行自动交易订单。每套API密钥都包含两个重要元素:公钥和私钥,通常称为公钥和私钥。第三方应用程序使用密钥签署操作请求,并通知加密货币交易所应用程序有权访问交易者的账户并执行API密钥支持的操作。一旦您的API密钥被网络罪犯泄露或窃取,后果不堪设想。然而,话虽如此,即使其他人窃取了您的API密钥,他们也无法简单地将您的加密货币余额转移到他们自己的钱包中,因为加密货币交易所默认禁用API取款。然而,在进行威胁情报操作时,我们的研究人员发现最近几周黑客论坛上针对被盗加密货币交换API密钥的交易报价似乎在稳步增加。显然,这是一种新兴的犯罪商业模式,“经验丰富的交易员”团队通过利用被盗的API密钥“清空”加密货币交易账户。毫无疑问,这种现象引起了我们的注意。为了帮助加密货币交易所用户保护他们来之不易的硬币,我们决定扩展这一新兴趋势,并尽可能多地了解威胁参与者如何利用这些API密钥。我们的发现令人难以置信:犯罪分子似乎正在使用从加密货币交易应用程序中窃取的API密钥轻松清空受害者在所有主要加密货币交易所的账户。更糟糕的是,犯罪分子可以轻松绕过API密钥上的“仅限交易”设置,甚至在无法访问交易者账户凭证或取款权的情况下,也可以从交易者账户中窃取资金。网络犯罪分子如何滥用被盗的API密钥通常,加密货币交易所为交易者提供三种类型的API权限:数据权限,允许API读取您的交易所账户数据,包括未结订单、余额和交易历史,而无需对账户进行任何更改。·交易许可,允许API代表您执行交易,下达未平仓订单。·提款许可,允许API从您的交易账户中提取加密货币并将其转移到另一个位置。启用此权限后,应用程序可以在未经您许可的情况下将您的资金转移到另一个钱包。出于安全原因,加密货币交易所默认禁用取款权限。话虽如此,网络犯罪论坛上发布的大多数广告都声称其所有者最多可以提取受害者加密货币余额的80%,然后将其与被盗API密钥的所有者平分。(黑客论坛上API密钥黑客服务的广告示例:“有经验的交易者”可以从受感染的交易账户中提取高达80%的资金,具体取决于交易所。)这会让你认为,罪犯这些广告背后的服务提供商将需要已被授予撤回权限的被盗API密钥。然而,经过一系列的测试,我们甚至找不到一个被盗的APIkey可以出售并启用了提款权。犯罪分子能否在没有提款权的情况下提取资金?不幸的是,为了从交易账户窃取资金,威胁行为者甚至不需要直接提取资金:然后可以通过与犯罪分子自己构建的机器人进行无利可图的交易来出售余额。在调查网络犯罪分子使用的被盗交易所API密钥滥用技术时,我们了解到威胁行为者主要采用两种API密钥利用方法从交易所窃取资金:“卖墙”买断和提价。注意:我们已经在Binance加密货币交易所的我们自己的账户上成功测试了这些方法,似乎所有流行的加密货币交易所的账户都可能以这种方式被利用。买“卖墙”“卖墙”是股票和加密货币市场中常用的市场操纵技术。在加密货币世界中,这些是由市场操纵者人为创建的大量市场卖单,目的是降低加密货币的价格或将其保持在最大门槛以下以廉价购买大量硬币。在许多情况下,这些大订单一次只会出现几分钟甚至几秒钟,然后就会被完全删除。我们的调查发现,网络犯罪分子使用类似的“卖墙”技术,但也略有不同。在这种情况下,“销售墙”是由威胁行为者使用被盗的API密钥设置的受损交易者账户创建的。据Cyber??News研究员MartynasVareikis称,为了引发价格波动,犯罪分子设置了交易机器人,以低于市场价值的价格开出许多小额卖单,如果受害者的账户余额足够大,则开出大额卖单。出订单。与此同时,同一个机器人为受害者被迫“卖出”的代币打开了一个自动买单。“这在加密货币交易所的买卖订单图表中创建了一个可见的‘卖墙’,合法的交易机器人通常只能在交易余额耗尽之前购买‘卖墙’的大约20%,剩下的80%%是为犯罪分子设置的交易机器人保留的,”Vareikis说。在一个销售订单以极低的价格完成后,立即设置另一个订单以出售更多的硬币,这将给受害者造成更大的损失。这个过程如此反复,最终受害者的全部账户余额逐渐以压低的价格卖给威胁者的交易机器人。这样,受害者的资金可以在几毫秒内完全蒸发,这就是执行这种类型的全部自动交易订单。涨价涨价是犯罪分子利用被盗API密钥的第二种常用技术。这种方法涉及购买交易量很小的廉价代币,短暂提高价格,然后d然后以过高的价格将它们卖回给受害人。在利用受害者的账户之前,犯罪分子通过在他们自己的中间账户中存储一种非常便宜、不太受欢迎的加密货币来开始他们的行动。受害者账户中大约80%的资金被用于发起相同加密货币的大额采购订单。低交易量使网络犯罪分子可以通过发起大量购买订单来大幅提高货币价格。同时,不法分子利用中间人账户,以更高的价格向受害人出售价格虚高的币。订单执行后,交易量和价格恢复正常,给受害者留下了一堆几乎一文不值的代币,他们被迫以离谱的价格从威胁行为者那里购买。网络犯罪分子如何获取被盗的API密钥网络犯罪分子可以通过多种方式获取他人的API密钥,而无需在其设备上安装恶意软件或间谍软件。这包括扫描可公开访问的Web应用程序环境文件和公共代码存储库以查找泄露的私钥。大多数Web应用程序使用环境(ENV)文件来存储对应用程序工作至关重要的框架设置,并且在某些情况下可能包含API密钥。在大多数情况下,这些文件是加密的。然而,有时它们不受保护,这意味着包括网络犯罪分子在内的任何人都可以访问它们的内容并提取其中的任何有用信息。与ENV文件类似,存储在公共代码存储库中的文件可能包含公共身份验证令牌。GitHub等公共存储库因成为网络犯罪分子的金矿而臭名昭著,其中一些存储库存储了数千个泄露的凭证文件以及API密钥。高级技术大学首席网络讲师AaronJones说,API密钥很有价值,因此受到网络犯罪分子的高度追捧。“你永远不应该将API密钥推送到Github或Gitlab之类的东西,你应该在你添加到你的gitignore文件的文件中将它从你的应用程序中抽象出来,”Jones补充道。“犯罪分子经常通过易受攻击的S3存储桶、硬编码到github发布源代码,甚至网络钓鱼以一种简单的方式找到API密钥。你会惊讶于这种情况发生的频率。根据定义,API访问是一个网络事件。你的活动onShoreSecurity创始人兼首席执行官StelValavani表示,“对于API密钥等顶级产品尤其如此。”我们在调查期间进行的测试表明,平均而言,在公共存储库中发现的交易API密钥属于持有价值约5,000美元的加密货币的账户,最高账户余额为154,000美元,这些账户具有交易权限。API密钥暴露的交易账户在公共代码存储库中的加密货币总净资产超过1,000,000美元。(加密货币交易机器人公开提交的源代码示例,每个人都可以在其中看到二进制API密钥)尽管我们在调查中没有发现暴露的API密钥可以启用提款权,超过90%的用户仍然同意这将允许网络犯罪分子轻松清空受害者的交易账户。如何保护您的API密钥如果您是一名加密货币交易员,您可以采取一些简单的步骤来保护您的API密钥不被在黑客论坛上宣传其服务的“经验丰富的交易员”滥用:将您的IP地址列入白名单。主要的加密货币交易所允许将IP地址列入白名单以供API密钥使用。启用此功能将防止大多数犯罪分子使用您的余额进行交易,只要他们无法访问您的交易机器人控制面板即可。将您的API密钥视为您的加密货币钱包的私钥。也就是说,不要将它们存储在您的硬盘上,也不要将它们透露给任何人。如果你的API密钥在别人手里,你的钱就被盗了。Cyber??lands董事总经理AlexBodryk补充说,每季度轮换您的API密钥和密码将有助于防止网络犯罪分子利用旧数据泄露来访问您的交易账户。“保持警惕,不要回复来自加密货币交易所的任何通信。相反,请通过官方渠道联系他们。安装和更新来自信誉良好的供应商的防病毒软件。使用密码管理器来保护您的秘密。永远不要以明文形式存储任何API密钥或密码,”Brodyk说。据GPEN、威胁猎人和Zix安全研究经理TroyGill称,由于通过API进行交易的风险性质,最好使用专门用于此目的的专用个人计算机。“避免连接到任何公共网络,也不要使用机器进行浏览、发送电子邮件或其他与网络相关的活动。如果你怀疑你可能已经暴露了API数据,请立即从交易所删除密钥。”吉尔总结道。本文翻译自:https://securityaffairs.co/wordpress/118155/hacking/api-keys.html如有转载请注明原文地址。
