נכסים דיגיטליים

3Commas API Leak Highlights Yet Another Way to Lose Your Money

mm
Published
Updated
Hooded Hacker

בעידן הדיגיטלי של היום, חשוב מתמיד להיות מודעים לסיכונים הפוטנציאליים של הדלפות אבטחה מקוונות, כגון הדלפות API, מכיוון שהן יכולות להוביל לאובדן של מידע אישי ונתונים פיננסיים.

הדלפות API מתרחשות כאשר גורם חיצוני גואס ל-API (ממשק תכנות יישומים) של חברה ללא רשות. זה יכול לקרות כאשר API של חברה אינו מאובטח כראוי, או כאשר האקרים מצליחים לנצל פגיעות במערכת. וכאשר גורם חיצוני מקבל גישה ל-API של חברה, הוא יכול פוטנציאלית לגשת לנתונים רגישים, כגון מידע אשראי של לקוחות או יתרות חשבון.

הדלפות API יכולות להיות בעלות השלכות חמורות עבור חברות וצרכנים. חברות יכולות להיתבע ולשלם קנסות ונזקים אם מידע לקוחות מופרץ, בעוד צרכנים יכולים לסבול מהונאה פיננסית או גניבת זהות. אז, בואו נעמיק יותר כדי להבין טוב יותר!

הבנת API Key

API Key הוא מזהה ייחודי המשמש לאימות בקשות ל-API (ממשק תכנות יישומים). זהו דרך עבור ה-API לזהות את המפתח או המערכת המבקשת ולוודא שרק בקשות מורשות מעובדות.

API Keys משמשות לעיתים קרובות לעקוב אחר ולשלוט בשימוש ב-API, ולוודא שה-API אינו מנוצל או משמש בצורה מופרזת. הן בדרך כלל מיוצרות על ידי ספק ה-API, ולעיתים קרובות מלוות במפתח סודי כדי לאמת את ה-API Key ולוודא שהיא משמשת על ידי מקור מורשה.

כדי להשתמש ב-API הדורש API Key, המערכת חייבת לכלול את המפתח בבקשות שנשלחות ל-API. זה בדרך כלל נעשה על ידי כלול המפתח בכותרת הבקשה או כפרמטר בקשה ב-URL.

ישנם שני סוגים של API Keys: פרטיות וציבוריות. API פרטיות בדרך כלל נגישות רק לקבוצה ספציפית של משתמשים או מערכות, ולעיתים קרובות משמשות לגישה לנתונים או תכונות רגישים או בעלות זכויות יוצרים. API Keys ציבוריות, מצד שני, משמשות לעיתים קרובות לגישה לנתונים או תכונות הזמינים לציבור הרחב. API Keys ציבוריות בדרך כלל מונפקות לכל מפתח או מערכת הרוצה להשתמש ב-API.

כיצד הן משמשות במסחר?

API Keys משמשות לעיתים קרובות במסחר כדי לגשת לפלטפורמת מסחר פיננסית, כגון בורסה לניירות ערך או בורסה למטבעות מבוזרים.

הן מאפשרות למפתחים לבנות יישומים שיכולים ליצור אינטראקציה עם בורסות מטבעות מבוזרים ולבצע עסקאות בשם המשתמש. הן יכולות לשמש לצפות במידע חשבון, לאחזר נתוני שוק בזמן אמת, לבצע הזמנות, לנהל עמדות, ועוד.

הרעיון הוא שבני אדם אינם צריכים לבצע את עבודת החשיבה או ביצוע העסקאות. במקום זאת, הכל נעשה באופן מיידי ואוטומטי דרך קוד. אבל זה עד שאנשים הלא נכונים מקבלים גישה ל-APIs, שזה כל מה שהם צריכים כדי לגרום להרס.

לאחר הכל, API Keys בדרך כלל מיוצרות על ידי הבורסה, והמשתמש חייב לספק את המפתח לתוכנת המסחר כדי לגשת ל-API.

סכנות בשימוש ב-API Keys במסחר

בעוד ש-API Keys יכולות להיות מאוד נוחות, הן גם יכולות להוות סיכון ביטחוני. למשל, אם API Key מופרץ, היא יכולה לשמש לגישה לא מורשית לחשבון או לביצוע עסקאות בשם המשתמש ולהעביר כספים.

כמו כן, אם המפתח משמש לגישה למידע פיננסי רגיש, כגון יתרות חשבון או היסטוריית עסקאות, היא יכולה לשמש להונאה או לביצוע פשעים אחרים.

בנוסף, הדלפות API יכולות להיות קשות לגילוי, שכן הן לעיתים קרובות מתרחשות בתוך קוד היישום או השירות, ולא במסד הנתונים או בשרת. כך, הן יכולות להישאר בלתי מגולות למשך זמן רב.

3Commas API Leak

שבוע שעבר, הועלה החשד שמיליוני דולרים במטבעות מבוזרים נגנבו דרך API Keys מופרצות מפלטפורמת המסחר 3Commas, שנתמכה על ידי Alameda Research של Sam Bankman-Fried. השבוע, החברה הודתה כי היא המקור להדלפת ה-API.

ההודעה של 3Commas הגיעה לאחר שמשתמש טוויטר אנונימי השיג כ-100,000 API Keys השייכות לספקית התוכנה 3Commas ופרסם מעל 10,000 מהם באינטרנט, ואמר כי “השאר יפורסמו באופן אקראי בימים הקרובים.”

מאז, 3Commas ביקשה מבורסות מטבעות מבוזרים תומכות כגון Binance, Kucoin, ואחרות לבטל את כל ה-API Keys שחוברו לפלטפורמת המסחר.

ההדלפה הגיעה לאחר שעשרות משתמשי 3Commas טענו כי API Keys שלהם שימשו לביצוע עסקאות בבורסות כגון KuCoin ו-Coinbase ללא הסכמתם. הפלטפורמה אישרה כי משתמשים איבדו לפחות 6 מיליון דולר לתוקפים החל מאוקטובר, אך סכום זה הוכפל בשבועות האחרונים.

תחילה, 3Commas טענה כי לא היה בעיה ביטחונית בצדה, וכי התקפת פישינג גרמה למשתמשים למסור את נתוניהם. אך הדלפת הנתונים מראה כי נתוני המשתמשים הודלפו ולא נפישו.

3Commas היא בוט מסחר מטבעות מבוזרים פופולרי המאפשר למשתמשים לאוטומט את המסחר שלהם בבורסות חיצוניות. האפליקציה משתמשת ב-API Keys כדי לגשת לחשבונות המשתמשים בבורסות, ונראה כי ה-API Keys שנכללו בהדלפה השבועית נוצרו ב-Binance ו-KuCoin.

לפי המעקב הבלוקצ’יין @ZachXBT, קבוצה של 44 קורבנות איבדה סך הכל 14.8 מיליון דולר דרך API Keys גנובות מ-3Commas. באותה עת, מנכ”ל 3Commas, Yuri Sorokin, טען כי אם ה-API Keys המודלפות היו מ-3Commas, “הייתם רואים מאות אלפי מקרים, לא מאה.”

ישנן יותר ממיליון מפתחות הקשורים ל-3Commas, אך רק כ-100 משתמשים דיווחו על בעיות עם חשבונותיהם, הוסיף Sorokin. השבוע, משתמשים מתחו ביקורת על 3Commas על כך שהאשימה את משתמשיה, במקום לקחת אחריות ולהתמקד במניעת ניצולים נוספים.

לפני שהוציא 3Commas הודעה השבוע, מנכ”ל Binance, Changpeng Zhao, הזהיר משתמשים, ואמר: “אני בטוח באופן סביר כי ישנן הדלפות API Keys נרחבות מ-3Commas. אם הכנסתם API Key מ-3Commas (מכל בורסה), אנא נטרלו אותו מיד.”

3Commas כעת מעודדת משתמשים ליצור API Keys חדשים מתוך זהירות. בנוסף, הם עדכנו את האפליקציה כדי להקשות על הונאות פישינג עתידיות.

בינתיים, צוות המשפטי של 3Commas הצהיר בהודעה כי החברה נמצאת בתהליך של העסקת מומחים חיצוניים כדי לבדוק את הקוד וליישב את העניין באופן סופי עבור המשתמשים.

“רק חלק זעיר של המשתמשים דיווחו על פעילות לא רגילה ל-3Commas. 99.9% מה-API Keys האחסנו במסד הנתונים של 3Commas לא הושפעו מההתקפות,” הוסיף צוות המשפטי.

אמצעי מיגון

בעולם של היום, הגנה על API שלך היא חשובה מתמיד, בשל הגישה הישירה שהיא מספקת ליישומים ונתונים. אי אפשר פשוט לומר ש-API שלך בטוח היום. אבטחת API נחוצה יותר מתמיד.

אי-אבטחת API באופן נכון יכול להכניס אותך להרבה צרות. וודאו לעשות עסקים רק עם חברות מהימנות, ואל תשתפו מידע רגיש עם אף אחד, אלא אם אתה בטוח שזה בטוח.

דרך נוספת להגן מפני הדלפות API היא לשמור את היישומים והשירותים שלך עדכניים ולהיות בעל תוכנית לעדכון באופן קבוע. כך, אתה יכול לוודא שכל פגיעויות חדשות מתוקנות במהירות. בנוסף, כדאי לשקול להשתמש בחומת אש ליישומי רשת (WAF) כדי לסייע בבלוק הבקשות המזיקות.

תמיד שמור את API Key שלך בטוח ובטוח, ואל תאחסן אותו במקום שבו הוא יכול להיות פגיע. חשוב לשנות את API Keys שלך באופן קבוע, ואל תשתפם עם אף אחד, גם לא עם אלו שאתה בוטח. אם אתה חייב לשתפם, וודא לעשות זאת באמצעות שיטה בטוחה, כגון קובץ מוגן בסיסמה.

אם אתה חושד ש-API Key שלך הופרץ, שנה אותו מיד והודיע לבורסה. כדי להגן על עצמך מפני סיכונים אלו, חשוב לשנות את הסיסמאות שלך באופן קבוע, ואל תשתמש באותה סיסמה למספר חשבונות. בכך, אתה יכול לסייע לשמור את חשבונך בטוח ומאובטח.

מילה אחרונה

הדלפות API אינן דבר חדש. בעצם, הן קיימות כבר זמן רב. ואף על פי שהן אינן הצורה הנפוצה ביותר של הדלפת נתונים, הן עדיין יכולות להיות מאוד מזיקות. זה בגלל שהדלפות API יכולות לתת לתוקפים גישה ישירה לנתונים הרגישים ביותר שלך.

בעוד שהדלפות API אינן הדרך היחידה לאבד כסף, הן בהחלט דאגה מרכזית. לכן, חשוב להשתמש ב-API Keys במסחר באופן אחראי, להיות מודע לסיכונים הפוטנציאליים ולמגבלות של שימוש בהן, ולוודא לנקוט באמצעי זהירות כדי להגן על כספך ומידעך.

mm

גאורב התחיל לסחר במטבעות דיגיטליים ב-2017 ומאז הוא התאהב בתחום הקריפטו. עניינו בכל דבר הקשור לקריפטו הפך אותו לכותב מומחה בתחום מטבעות דיגיטליים ובלוקצ'יין. בקרוב הוא מצא את עצמו עובד עם חברות קריפטו ואמצעי תקשורת. הוא גם מעריץ גדול של באטמן.