作者:Colin Wu
原文:《新型黑客手法:3Commas API KEY 泄露;在 FTX 等對敲盜幣 全過程記錄》
21日一名杭州用戶向吳說爆料:他的 FTX 賬戶在19日晚突然“瘋狂”地進行交易達5000多次,賬戶資產160萬美金接近歸零,包括10幾個 BTC、上百個 ETH 以及幾千個 FTT 等,全部通過交易小幣 DMG 對敲盜走。用戶1年前開始使用量化機器人 3Commas,FTX 的 API 不需要更新,所以從來沒動過也沒保存過 API。
FTX 反饋是由于有能夠訪問 API KEY 的人通過 REST API 完成,可能是泄露了用戶 API KEY。FTX 表示需要拿到立案通知書才能配合相關例如凍結等工作,但在用戶提交報案回執后暫無回復。3Commas 則表示沒有發生任何的泄露。
《華爾街日報》:Justin Sun正在評估購買FTX資產的可能性:11月22日消息,Justin Sun表示,他的同事正在評估從SBF手上購買FTX資產的可能性。Justin Sun周二在新加坡接受采訪時稱,我們對任何形式的交易持開放態度,我認為所有選項都已經擺到了桌面上。現在我們正在一項一項地評估資產,但據我所知,這個過程會很長,因為他們(FTX)已經進入了破產程序。[2022/11/23 7:57:51]
值得注意的是,FTX 客服在最初回復中表示,“受影響的并非只有你”,可隨后 FTX 客服就不再聯系,并且表示這是個誤會。
IEX或作為破產托管人購買FTX技術,曾考慮與SBF合建受SEC批準的新加密交易平臺:11月15日消息,據福克斯財經網援引知情人士報道,美國證券交易平臺IEX或作為破產托管人購買FTX技術。FTX也是IEX的少數投資者,IEX正試圖回購FTX持有的該公司股票。
此前IEX曾考慮與SBF合資建立一個明確符合美國證券交易委員會(SEC)標準的新加密交易平臺。據知情人士透露,IEX和FTX的團隊向SEC主席GaryGensler及SEC高級官員提供了他們想法的大致輪廓,并質疑現有的SEC規則是否適用于他們的新企業。據稱Gensler對該提議不溫不火,沒有明確排除這種可能性,也沒有表示會給這筆交易開綠燈。直至上周FTX破產之前,IEX高管仍與SEC官員進行了會面。[2022/11/15 13:07:01]
問題來到了 3Commas 這邊,它在吳說報道后連忙回應稱:目前,3Commas 將此事視為重中之重。我們在登錄時使用 2FA 和 OTP 等具有最高安全性,以確保用戶帳戶始終安全。我們與用戶保持聯系,以確保他們獲得所需的所有支持。
美CFTC主席:FTX美國衍生品業務的健康狀況歸功于監管:金色財經報道,美國商品期貨交易委員會(CFTC)主席Rostin Behnam周一在芝加哥舉行的期貨行業協會(FIA)活動中表示,FTX美國衍生品交易子公司FTX US Derivatives(前LedgerX)仍然健康運營,而其他相關公司正在崩潰,這可能歸功于監督。
FTX US Derivatives未被納入FTX美國業務的破產申請,Behnam說,“原因是我非常堅信它們非常明確地受到CFTC的監管,這證明了CFTC法規和CFTC工作人員以及擁有清晰、透明規則的好處。”[2022/11/15 13:04:55]
隨后 3Commas 發布了一個公告:
FTX以250億美元估值在B-1輪融資中籌集超4.2億美元,Tiger Global等參投:10月21日消息,FTX宣布已在B-1輪融資中籌集420,690,000美元。BlackRock、Tiger Global等69位投資者參投。FTX表示,投資者對其的估值為250億美元,比7月份的B輪融資估值上漲了近39%。(CoinDesk)
此前7月21日消息,加密交易平臺FTX宣布完成9億美元B輪融資,共超60家(位)投資方參與。[2021/10/21 20:47:12]
然而在公告發布后,更多的受害者開始出現。
一名來自巴拉圭的受害者告訴吳說:他在攻擊中損失了近 104 比特幣,他強調FTX 自 10 月 19 日以來就知道該漏洞,兩天后我遭到了攻擊!3Commas 說是網絡釣魚攻擊,但我從未使用我的 3Commas 帳戶來設置機器人,而且該帳戶甚至已過期并已降級為免費帳戶。我已經有一年多沒有進入該帳戶,我從未將密鑰或 API 密鑰保存到任何文檔中,但僅在一年多前使用它來建立 FTX 連接。我也是一名 IT 工程師,我的筆記本電腦和智能手機由 Norton 360 和其他積極防止任何網絡釣魚或病攻擊的機制保護。
另一名來自中國的量化交易的受害者也表示,從未使用過 3Commas。在他的截圖中,19、20、21日均發生了關于 DMG 的對敲盜幣,但 FTX 竟然沒有對此做預防措施。
https://twitter.com/littlesand2/status/1583830658203283456
隨著輿論發酵,10月24日 SBF 終于回應,表示將賠償600萬美金,但“這是一次性的事件,我們不會養成補償被其他公司的假冒版本釣魚使用的習慣”。目前用戶已經收到了賠償的金額。FTX 對敲盜幣事件攻擊者已將所獲取利潤轉移至 Binance 和 FixedFloat 交易所。SBF 表示若攻擊者在 24 小時內歸還 95% 的被盜資金,則免除其法律責任。
目前來看,FTX 與 3Commas 都堅稱是用戶登陸了虛假釣魚網站而泄露了 API KEY。受害者當然對此并不同意。但事件核心確實是 API KEY 泄露。由于數據都掌握在 3Commas 與 FTX 內部,披露的信息目前也非常稀少,所以真相究竟如何,外界可能也無法完全了解。總而言之,對 API KEY 的授權與管理需要更加謹慎。
24日晚,據 @x_explore_eth 最新研究,因為 API KEY 泄露,除了 FTX 用戶因為對敲遭到數百萬美金的損失,Binance US 和 Bittres 的交易所也遭到類似的攻擊,使用的小幣種分別為 SYS/USD 與 NXT/BTC,損失分別達到 1053 ETH 和 301 ETH。FTX 的 DMG/USD 當攻擊發生時,交易量增加千倍幣價波動2-3倍,屬于重大異常交易事件,但 FTX 并沒有即時阻止,問題后續持續多次發生,因此也需要承擔一定的責任(SBF 也及時補償了用戶損失),其他交易所也應該對此多加關注。
吳說區塊鏈
個人專欄
閱讀更多
金色早8點
區塊律動BlockBeats
1435Crypto
金色財經
比推 Bitpush News
blockin
Block unicorn
Foresight News
Odaily星球日報
Bankless
DeFi之道
盡管加密市場處于熊市,眾多知名足球粉絲Token背后的公司Chiliz仍然增員70%,全職員工數超過300名.
1900/1/1 0:00:00原文標題:《肖颯團隊 | DAO 犯罪,是組織「背鍋」還是成員「替罪」?》撰文: 肖颯法律團隊圖片來源:由無界版圖 AI工具生成隨著信息技術的不斷迭代優化以及科學技術的不斷革新.
1900/1/1 0:00:00Layer0 是我認為目前行業對其定義最模糊也是理解最復雜的一層,所以我會多花一些時間講解。很多人將 Layer0 定義為區塊鏈基礎設施服務層,但我覺得這個概念還是太大太粗,目前我認為 .
1900/1/1 0:00:00原文來源:SBF原文編譯:深潮11 月 9 日,加密世界進入新紀元,FTX 遭遇流動性困難,CZ 表示將收購 Ftx.com,站在風口浪尖的 SBF 給投資者發送了一封信,以下為全文: 嗨.
1900/1/1 0:00:00今天主要是從一個自上而下結合時間發展的視角整理了以太坊擴容方案。內容涵蓋了一些市場如今已經不再提及的舊方案,有些可能大家聽都沒聽說過.
1900/1/1 0:00:00文章來源:來源:https://alphapls.substack.com/p/the-state-of-ethereum-l2s金色財經 xiaozhou 編譯 過去一年回顧 主要的以太坊L2.
1900/1/1 0:00:00