Витік API-ключів та бездіяльність бірж: аналіз інциденту 3Commas від HAPI
Вже декілька місяців у спільноті обговорюють витік API-ключів з платформи 3Commas. Остання визнала компрометацію даних лише в грудні 2022 року, хоча перші скарги почали з’являтися в жовтні.
Команда децентралізованого протоколу безпеки HAPI поділилася з ForkLog UA детальним аналізом інциденту. Спеціалісти оцінили суму збитків клієнтів, пояснили, як у користувачів централізованих платформ викрадали їхні активи, а також розповіли про колективний позов, який готують проти 3Commas у США.
🔥HAPI Labs is excited to unveil a new investigation into @3commas_io incident!
— HAPI LABS | Alerts (@hapi_labs) January 19, 2023
👉More than 27 million$ lost; numerous big exchanges involved including @binance and @coinbase.
✍️Full analysis and investigation into 3Commas here: https://t.co/jprPHOu51w
Small thread 🧵 pic.twitter.com/GJFf4WGajX
“Хибні чутки”, що виявилися правдою
У жовтні 2022 року 3Commas разом з командою криптовалютної біржі FTX повідомили, про компрометацію низки API-ключів, які згодом використовувалися для здійснення несанкціонованих угод з токеном DMM Governance (DMG).
У мережі почали ширитися повідомлення користувачів про те, що їх ключі використовувалися для здійснення операцій на Binance, KuCoin і Coinbase без їхньої згоди.
Втім, представники 3Commas називали інформацію, що поширювалась у соцмережах, “хибними чутками”.
There have been some false rumors shared by bad faith actors using falsified evidence to claim 3Commas leaked users’ API keys. These rumors were related to fake screenshots of Cloudflare logs that have been shared on Twitter and Youtube.
— 3Commas (@3commas_io) December 11, 2022
The full article: https://t.co/KVOF2BWlYn pic.twitter.com/qJ52CvnVg0
Проте наприкінці грудня, після заяви глави криптовалютної біржі Binance Чанпена Чжао про витік API-ключів у 3Commas, команда останньої все ж визнала інцидент.
Повідомлялося, що невідомі отримали близько 100 000 ключів користувачів сервісу, опублікували у відкритому доступі 10 000 з них та пообіцяли викладати новими партіями решту.
3Commas підтвердила актуальність інформації, яка опинилася у хакерів.
3Commas Statement:
— 3Commas (@3commas_io) December 28, 2022
1) We have seen the hacker’s message and can confirm that the data in the files is true. As an immediate action, we have requested that Binance, Kucoin and other supported exchanges revoke all keys that were connected to 3Commas. pic.twitter.com/ZMuzCqeF1j
За попередніми даними, отриманими HAPI, кількість постраждалих від витоку вже становить десятки людей. Втім, реальне число може складати десятки і тисячі жертв, кажуть аналітики.
Підтверджені збитки оцінюються у десятки мільйонів доларів. Сума щоденно зростає, оскільки надходять нові скарги від клієнтів.
Що являє собою 3Commas?
3Commas — це сервіс для автоматизації торгівлі цифровими активами, запущений у 2017 році. У HAPI зазначили, що він заснований вихідцями з РФ Юрієм Сорокіним, Михайлом Горюновим та Єгором Разумовським. Компанія зареєстрована в Естонії.
Торгові боти 3Commas підключаються до багатьох криптовалютних бірж. Зокрема, сервіс довгий час був партнером Binance та FTX, яка наразі знаходиться в процесі банкрутства.
Крім того, компанія отримала мільйони доларів інвестицій від іншої пов’язаної з FTX структури — Alameda Research Сема Бенкмана-Фріда.
Проблеми з безпекою
На сайті 3Commas стверджується, що сервіс “серйозно ставиться до безпеки” користувачів.
Проте перші скарги на компрометацію API-ключів у жовтні 2022 року команда проєкту або ігнорувала, або називала чутками. У листопаді про інцидент вже заявляли десятки людей і ситуація “вийшла з-під контролю”.
Керівництво 3Commas заявляло, що в межах внутрішнього розслідування не виявлено доказів залученості співробітників до витоку даних.
Втім, у НАРІ стверджують, що частина команди розробки компанії покинула її незадовго до інциденту, а також у період появи перших скарг.
Фахівцям вдалося зв’язатися з деякими зі співробітників, які звільнилися. Вони підтвердили на умовах анонімності, що ключі користувачів цілком міг “злити” хтось з інсайдерів.
“У 3Commas повністю закритий код, закритий софт, закрита розробка. Немає жодного аудиту. За п’ять років роботи офіційного партнера Binance, FTX — жодного публічного аудиту. […] Все, що ми дізнаємося, надходить тільки від розробників, що звільнилися, та від жертв. […] І це на тлі заяв про величезний обсяг торгів через софт, який вони надають — $23 млрд щомісячно, якщо бути точним”, — розповів у розмові з ForkLog UA представник HAPI.
За словами деяких співробітників, які звільнилися, стиль управління в 3Commas був хаотичним:
“У керівництві компанії панував повний хаос, тому не виключено, що ключі могли бути продані кимось зі співробітників, які мали доступ [до них]”.
Крім того, один з колишніх співробітників повідомив, що в дні надходження перших скарг користувачів співзасновники платформи нібито заявили команді про критичність ситуації та казали про “кінець 3Commas”.
Проте вже згодом риторика змінилася. Компанія місяцями заперечувала усі звинувачення, натякаючи на необережність користувачів.
Як зловмисники викрадали кошти користувачів?
За словами аналітиків, зловмисники, використовуючи сторонні рахунки на централізованих платформах, виставляли ордери на продаж низьколіквідних активів за високою ціною.
Після цього через акаунти жертв, до яких вони отримували доступ через API, злочинці обмінювали у біржовому стакані ці активи на високоліквідні.
Спеціалісти зазначили, що мова йде не лише про контртрейдинг, але й про wash trade. Як приклад вони навели ситуацію, коли до атаки вартість ліквідних активів жертви оцінювалася в 50 ВТС, а після неї, за успішної реалізації схеми Pump and Dump, — в 7 ВТС. При цьому 43 ВТС “осідають” на іншій стороні, зазначили фахівці.
У HAPI підкреслили, що, маючи доступ до API-ключів користувачів, зловмисники обходили 2FA та інші інструменти безпеки, впроваджені на біржах. Аналітики також зазначили, що невідомо, чи шифрувала 3Commas дані клієнтів — через закриту архітектуру сервісі перевірити це неможливо.
Інцидент в цифрах
- Число жертв витоку, перевірених аналітиками HAPI, станом на 10 січня 2023 року склало 86 осіб з 32 країн світу.
- Підтверджена сума збитків — $27 285 845. Найменша сума втрат складає близько $500, найбільша — $5,9 млн.
- Більшість постраждалих є жителями США (21), Великої Британії (11), а також України, Канади та Таїланду (по 4 у кожній юрисдикції). 19 випадків стосуються громадян ЄС.
- Серед підтверджених жертв найбільше користувачів Binance (47), KuCoin (28), Coinbase Pro (10) і Bittrex (1).
За даними HAPI, шість клієнтів втратили понад мільйон доларів кожен. Їхні загальні збитки склали $18,3 млн або близько 67% від загальної суми.
Найбільше з проаналізованих випадків постраждали трейдери Binance (близько $23,5 млн), на KuCoin і Сoinbase Pro прийшлося $2,1 млн та $1,5 млн відповідно.
У розрізі країн найбільші збитки понесли жителі Таїланду — понад $6,4 млн. На другому місці резиденти Великої Британії ($5,5 млн) та країн Євросоюзу ($4,8 млн).
На жовтень 2022 року прийшлося всього чотири випадки з загальними втратами користувачів на $470 000. Вже в листопаді кількість підтверджених НАРІ жертв зросла до 24 зі збитками на суму $14,9 млн. Грудень доповнив картину 58 новими випадками (втрати — ще $11,8 млн).
“Схоже, всіх китів “вичистили” у листопаді”, — зазначили в НАРІ.
Переважна більшість скомпрометованих API-ключів були згенеровані у 2022 році (майже 78% від загальної кількості).
Втім, чотири випадки пов’язані з ключами, які створили у 2020 році, та два — з ключами 2019 року.
Роль бірж
Незважаючи на можливість підключення 3Commas до двух десятків бірж, постраждали лише користувачі Binance, KuCoin і Coinbase Pro, також є один підтверджений випадок із клієнтом Bittrex, розповіли фахівці:
“Можливо, проблема не лише у 3Сommas? Опосередковано ми можемо пов’язати цей факт з настройками бірж щодо управління API-ключами користувачів. Більшість платформ за замовчуванням деактивують трейдерські ключі після 3-6 місяців. У випадку з Binance від витоку постраждали ключі, згенеровані більше трьох років тому”.
За словами аналітиків, у листопаді команда Binance вже знала про інцидент. 8 грудня 2022 року представники НАРІ звернулися до біржі з проханням сприяти розслідуванню. Втім, за їхніми словами, компанія відмовилася напряму брати в ньому участь і порадила звернутися до правоохоронців.
Спеціалісти HAPI підкреслили, що у бірж, яких стосувався інцидент, була можливість зменшити шкоду для користувачів. Зокрема вони могли відкликати API-ключі, заморозити акаунти до з’ясування обставин і звернутися до спеціалістів з кібербезпеки.
Втім, Binance, а пізніше і KuCoin з Coinbase, незважаючи на численні скарги та підозри щодо витоку API-ключів, довгий час ніяк не попереджали користувачів про необхідність деактивувати ключі для забезпечення безпеки, зазначили експерти.
Наразі всі біржі відключили API-ключі від 3Commas, заявили у HAPI.
Що далі?
Експерти підтвердили, що 29 грудня до розслідування інциденту долучилося ФБР. Відомство зацікавилося 3Commas, оскільки серед постраждалих користувачів превалюють громадяни США, а частина серверів компанії знаходяться на територіх Сполучених Штатів.
Також роль зіграла чимала сума збитків клієнтів платформи та той факт, що постраждалі збираються подати проти 3Commas колективний позов.
“Чи сильно вплине ФБР? Я в цьому не впевнений. Особливо, якщо 3Commas запропонує людям часткову компенсацію чи ще щось. Але Кіберполіція України була на зв’язку з ФБР. Група американців, що готує колективний позов, запросила постраждалих з України, країн Балтії, ЄС, Великої Британії доєднатися. Звичайно, колективний позов у США покликаний захистити громадян США, проте постраждалі з інших країн додають йому ваги. Чи допоможе він жертвам в інших юрисдикціях? Думаю, допоможе”, — сказав представник HAPI.
У 3Commas і Binance не надали оперативно коментарів щодо інциденту. ForkLog UA оновить матеріал, коли отримає відповіді від вказаних компаній.
Стежте за ForkLog UA у Twitter та Facebook.