Posted inДослідження та аналіз

Витік API-ключів і бездіяльність бірж: розбір інциденту 3Commas від HAPI

by Ezra Reguerra0

Витоком api-ключів із сервісу 3commas

Уже кілька місяців у спільноті обговорюють витік API-ключів із платформи 3Commas. Остання визнала компрометацію даних тільки в грудні 2022 року, хоча перші скарги датуються жовтнем.

Команда децентралізованого протоколу безпеки HAPI поділилася з ForkLog детальним аналізом інциденту. Фахівці оцінили збитки клієнтів, пояснили, як у користувачів централізованих платформ крали активи, і розповіли про колективний позов, який проти 3Commas готуються подати в США.

🔥HAPI Labs excited to unveil a new investigation into @3commas_io incident!

Понад 27 мільйонів $ втрачено; задіяні численні великі біржі, включаючи @binance та @coinbase.

✍️Full аналіз та розслідування інциденту 3Commas тут: https://t.co/jprPHOu51w

"Неправдиві чутки" виявилися правдою

У жовтні 2022 року 3Commas спільно з командою криптовалютної біржі FTX повідомили про компрометацію низки API-ключів, які згодом використовували для вчинення несанкціонованих угод із токеном DMM Governance (DMG).

Деякі клієнти платформи для алгоритмічної торгівлі повідомляли, що ключі без їхньої згоди застосовували для здійснення операцій на Binance, KuCoin і Coinbase.

Представники 3Commas тоді назвали цю інформацію "неправдивими чутками".

Були неправдиві чутки, якими ділилися недобросовісні актори, використовуючи сфальсифіковані докази, щоб стверджувати, що 3Commas витокував API-ключі користувачів. Ці чутки були пов’язані з фальшивими скріншотами логів Cloudflare, якими ділилися в Twitter і Youtube. Повна стаття: https://t.co/KVOF2BWlYn pic.twitter.com/qJ52CvnVg0

— 3Commas (@3commas_io) 11 грудня 2022 року

Команда платформи підтвердила витік користувацьких даних тільки в грудні, коли про релевантні проблеми попередив глава Binance Чанпен Чжао.

Повідомлялося, що до рук зловмисників потрапило близько 100 000 API-ключів. 10 000 з них вони розмістили у відкритому доступі та пообіцяли згодом опублікувати решту.

У 3Commas підтвердили актуальність злитої в мережу інформації.

1) Ми побачили повідомлення хакера і можемо підтвердити, що дані у файлах відповідають дійсності. В якості негайних дій ми звернулися до Binance, Kucoin та інших підтримуваних бірж з проханням відкликати всі ключі, які були пов’язані з 3Commas. pic.twitter.com/ZMuzCqeF1j

— 3Commas (@3commas_io) 28 грудня 2022 року

За попередніми даними HAPI, в рамках інциденту постраждали "десятки людей". Аналітики зазначили, що реальна кількість жертв може обчислюватися тисячами, а їхні сукупні збитки — оцінюватися в десятки мільйонів доларів.

Що таке 3Commas?

3Commas — це сервіс для алгоритмічної торгівлі цифровими активами, запущений у 2017 році. Згідно з HAPI, зареєстрована в Естонії компанія заснована вихідцями з Росії — Юрієм Сорокіним, Михайлом Горюновим і Єгором Разумовським.

Торгові боти платформи працюють з багатьма криптовалютними біржами. Зокрема, 3Commas є партнером Binance і FTX, яка зараз перебуває в процесі банкрутства.

Компанія також отримувала фінансування від іншої пов’язаної з FTX Group структури — сумнозвісної Alameda Research.

Проблеми з безпекою

На сайті 3Commas стверджується, що платформа "серйозно ставиться до безпеки користувачів".

Водночас перші скарги користувачів на компрометацію API-ключів у жовтні 2022 року команда проєкту або ігнорувала, або назвала чутками. У листопаді про проблеми повідомляли вже десятки людей і ситуація "вийшла з-під контролю".

Керівництво 3Commas заявило, що в рамках внутрішнього розслідування не виявило доказів причетності до витоку даних співробітників.

У HAPI стверджують, що незадовго до інциденту, а також у період появи перших скарг частина розробників покинула компанію. Аналітикам вдалося зв’язатися з деякими з них — на умовах анонімності вони підтвердили, що користувацькі ключі міг "злити" хтось із інсайдерів.

"У 3Commas повністю закритий код, закритий софт, закрита розробка. Немає жодного аудиту. За п’ять років роботи офіційного брокера Binance, офіційного партнера FTX — жодного публічного аудиту. […] Усе, що ми дізнаємося, дізнаємося тільки від розробників, які звільнилися, і від жертв. […] І це на тлі заяв про величезний обсяг торгів через наданий ними софт — $23 млрд щомісяця, якщо бути точним" , — розповів у розмові з ForkLog представник HAPI.

Крім того, один із колишніх учасників команди платформи розповів, що в дні надходження перших скарг від користувачів співзасновники компанії в розмовах зі співробітниками нібито називали ситуацію критичною і говорили про "кінець 3Commas".

Однак із часом риторика змінилася. Сервіс місяцями заперечував усі звинувачення, натякаючи на необережність своїх клієнтів.

Як зловмисники крали кошти користувачів?

За словами аналітиків, зловмисники, використовуючи сторонні рахунки на централізованих платформах, виставляли ордери на продаж низьколіквідних активів за високою ціною.

Потім через акаунти жертв, до яких вони отримували доступ через API, злочинці обмінювали в біржовому стакані ці активи на високоліквідні.

Фахівці зазначили, що йдеться не тільки про контртрейдинг, а й про промивну торгівлю. Як приклад вони наводять ситуацію, за якої до атаки вартість ліквідних активів жертви оцінювалася в 50 BTC, а після неї, коли схема Pump and Dump минула, — у 7 BTC. При цьому 43 BTC "осідають" на іншій стороні.

У HAPI підкреслили, що, маючи доступ до API-ключів користувачів, зловмисники обходили 2FA та інші інструменти безпеки, наявні на біржах. Аналітики також зазначили, що невідомо, чи шифрувала 3Commas клієнтські дані — через закритий характер архітектури сервісу перевірити це неможливо.

Інцидент у цифрах

  • станом на 10 січня 2023 року кількість постраждалих користувачів становила 86 осіб із 32 країн світу;
  • підтверджена сума збитків клієнтів 3Commas оцінюється в $27 285 845. Найменша сума втрат — близько $500, найбільша — $5,9 млн;
  • більшість постраждалих є громадянами США (21), Великої Британії (11), а також України, Канади і Таїланду (по 4 на кожну юрисдикцію). 19 випадків пов’язано з резидентами ЄС;
  • серед жертв найбільше користувачів Binance (47), KuCoin (28), Coinbase Pro (10) і Bittrex (1).

Аналітики зазначили, що шість користувачів втратили понад мільйон доларів кожен. Загалом на них припадає близько 67% від суми сукупного збитку або $18,3 млн.

найбільші жертви 3Commas

Найбільше грошей втратили користувачі Binance — у сукупності близько $23,5 млн. На KuCoin і Coinbase Pro припало $2,1 млн і $1,5 млн відповідно.

Жертви 3Сommas за біржами. Дані: HAPI

У розрізі країн найбільших збитків зазнали жителі Таїланду — понад $6,4 млн. На другому місці громадяни Великобританії ($5,5 млн), на третьому — резиденти ЄС ($4,8 млн).

географія жертв 3Commas

У жовтні 2022 року сталося всього чотири випадки крадіжки коштів із загальними втратами користувачів на $470 000. У листопаді кількість підтверджених аналітиками жертв зросла до 24. Їхні збитки оцінюють у $14,9 млн.

крадіжка ключів 3Commas

"Схоже, всіх китів вичистили в листопаді", — зазначили в НАPI.

Переважну більшість скомпрометованих API-ключів згенеровано у 2022 році (близько 78% від загальної кількості). Утім, чотири випадки пов’язані з ключами, створеними 2020 року, а два — з ключами 2019 року.

Роль бірж

Сервіс 3Commas підтримує понад два десятки бірж, проте постраждали тільки користувачі Binance, KuCoin і Coinbase Pro, також є один підтверджений випадок із клієнтом Bittrex.

"Можливо, проблема не тільки в 3Сommas? Побічно ми можемо пов’язати цей факт з налаштуваннями бірж з управління API-ключами користувачів. Більшість бірж за замовчуванням деактивують трейдерські ключі після 3-6 місяців. У випадку з Binance, витік торкнувся ключів, згенерованих більше ніж три роки тому", — зазначили в HAPI.

За словами аналітиків, у листопаді 2022 року команда Binance уже знала про інцидент. На початку грудня фахівці HAPI звернулися до біржі з проханням сприяти розслідуванню, але представник платформи відмовився долучитися до ініціативи і порадив звернутися до правоохоронних органів.

У компанії підкреслили, що у порушених бірж була можливість знизити збитки користувачів. Зокрема, вони могли відкликати API-ключі, заморозити залучені акаунти до з’ясування обставин, звернутися до фахівців із кібербезпеки.

Натомість Binance, а пізніше і KuCoin з Coinbase, тривалий час не повідомляли клієнтам про необхідність деактивувати ключі, незважаючи на численні скарги і підозри щодо витоку даних.

Наразі всі біржі вже відключили API-ключі від 3Commas, пояснили в HAPI.

Що далі?

У HAPI підтвердили, що 29 грудня 2022 року ФБР підключилося до розслідування інциденту. 3Commas потрапила під приціл відомства, оскільки серед постраждалих користувачів превалюють громадяни США, а частина серверів компанії розташовані на території Сполучених Штатів.

Роль також зіграли чимала оціночна сума збитків клієнтів платформи і той факт, що постраждалі користувачі мають намір подати проти 3Commas колективний позов.

"Чи матиме ФБР сильний вплив? Я не впевнений у цьому. Особливо, якщо 3Commas запропонує людям часткову компенсацію або ще щось. Але Кіберполіція України була на зв’язку з ФБР. […] Група американців, яка готує колективний позов, запросила постраждалих користувачів з України, країни Балтики, ЄС, Великої Британії приєднатися. Звісно, колективний позов у США покликаний захистити громадян США, однак постраждалі з інших країн додають йому ваги. Чи допоможе він постраждалим з інших юрисдикцій? Думаю, допоможе", — розповіли в HAPI.

Представники 3Commas і Binance не змогли оперативно надати коментарі щодо витоку призначених для користувача даних. ForkLog оновить матеріал, коли отримає відповіді від зазначених компаній.

Схожі статтi:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *