Платформа для алгоритмической торговли криптовалютами Skyrex сообщила об атаке. В результате компрометации API-ключа пострадал владелец проекта Jelly eSports NFT под псевдонимом CarlosOMFG.
The latest news about the attackhttps://t.co/EGSA94Xxvj— Skyrex (@skyrex_io) November 14, 2022
В ходе расследования команда выяснила, что инцидент похож на недавний кейс с 3Commas.
"Всем интересно, почему пампится Axie Infinity (AXS). Некто каким-то образом купил [токен] на миллионы долларов через мой аккаунт на Binance", — написал CarlosOMFG.
Anyone wondering why #AXS is pumping. Someone, somehow bought a million dollars worth on my @cz_binance @binance account. I have multiple security levels, nobody accessed my account...WTF!?I just got REKT. pic.twitter.com/iGOocFZynU— CarlosOMFGTv (0%) (@CarlosOMFG) November 13, 2022
С ним связался основатель и CEO биржи Чанпэн Чжао. Он предположил, что владелец NFT-проекта "поделился своим API-ключем со Skyrex, 3Сommas или какой-либо другой сторонней платформой". CarlosOMFG это подтвердил, хотя поначалу отрицал.
"В результате атаки злоумышленники отправили торговый ордер на один аккаунт с парой AXS/BNB. Наш давний партнер и друг CarlosOMFG понес потери. Сейчас принимаются меры по предотвращению будущих происшествий и возмещению убытков", — написала команда Skyrex.
По ее данным, быстрая реакция на инцидент ограничила ущерб 5% от суммы основателя Jelly eSports NFT в трейдинге. Потери платформа компенсирует.
"В настоящее время мы общаемся с командой безопасности Binance, чтобы предотвратить подобные случаи в будущем", — заявили в Skyrex.
В числе предполагаемых мер по улучшению управления API-ключами разработчики предложили внедрить:
список разрешенных пар;максимальный размер рыночных ордеров.
"Мы обнаружили как минимум три кейса, когда пользователи делились API-ключами со сторонними платформами и наблюдали неожиданную торговлю в своих аккаунтах", — прокомментировал Чанпэн Чжао.
We seen at least 3 cases of users who shared their API key with 3rd party platforms (Skyrex and 3commas), and seen unexpected trading on their accounts. If you used such a platform before, I highly recommend you to delete your API keys just to be safe. 🙏— CZ 🔶 Binance (@cz_binance) November 14, 2022
Напомним, пока рекордным в 2022 году месяцем по объему украденных криптовалют останется октябрь с ущербом на $760,2 млн, согласно PeckShield.
