FTX&3commas API 盗窃链上溯源和 Bittrex 攻击分析

X-explore 发现 FTX&3commas API 盗窃案的攻击者还攻击了Binance US和Bittrex交易所，分别窃取了1053ETH和301ETH。目前对Bittrex的攻击仍在进行中，疑似利用NXT/BTC交易对进行攻击。

1. 首先

为了帮助用户和做市商进行高频量化交易，交易所提供了交易、资产查询和提现的API接口。另外，DYDX等DEX平台也提供API接口。

因此，市面上很多交易机器人服务都可以通过API接口进行量化交易、网格交易和历史数据模拟测试。知名平台有：3Commas、Cryptohopper、Quadency。同时，这些API可以实现税收计算功能，并为用户生成年度税收报告。知名平台有：TokenTax 和 CoinTracker。

10月21日，一位推特用户声称自己的FTX账户在10月19日被盗，通过DMG/USD交易对中的API接口损失了160W美元。

10 月 24 日，FTX 创始人SBF 发推文称，FTX 将向受钓鱼事件影响的账户持有人提供约 600 万美元的赔偿，并发布了 3 个攻击者地址。

2. 链上溯源分析

2.1 FTX 攻击者地址 IOC

攻击者使用了多个地址，并与多个交易所进行了交互，我们一一描述：

攻击从 FTX 撤回地址：

在 SBF 推特中，攻击者获得 600W。事实上，SBF 提供的 3 个地址总共有大约 2000 ETH。通过链上挖矿，我们增加了 2 个相关的攻击地址，用于从 FTX 中提取 ETH

2.2 其他CEX攻击分析

2.2.1 币安美国

根据 twitter 发布的第二个地址（0xaeECB7860Eb6D7929Be5Bb34Ce94F21Befc6ead3），我们发现了针对 Binance US 的 API 盗窃攻击。攻击发生在 10 月 13 日至 10 月 17 日之间，总共被盗 1053 ETH。关联攻击者地址0xaeECB7860Eb6D7929Be5Bb34Ce94F21Befc6ead3。根据资金流向我们可以看到，大部分被盗资金都是通过一次或多次转账跳转收集到各个交易所的。

此外，我们发现攻击者涉嫌使用 SYS/USD 交易对进行资产转移。它在短时间内产生大量交易，攻击者的链上提现时间都发生在交易结束后的短时间内。

2.2.2 比特雷克斯

根据 twitter 发布的第一个地址（0x6D3e6Ba1b510287141b27F763A86E04c72a001D1），我们发现了针对 Bittrex 的 API 盗窃攻击。攻击发生在 10 月 23 日至 10 月 24 日之间，总共被盗 301ETH。

在BITTREX目前显示的现货交易量排名中，NXT Token排名第二。该币只在BITTREX和Poloniex上市，10月23日前基本没有交易量，攻击者很有可能利用NXT/BTC交易对进行攻击。

3. X-探索评论

该事件揭示了一种新的盗窃方式，攻击者通过控制交易来完成不同账户之间的资产转移。可以给交流带来很多反思。

1. 基本安全：从安全角度看，最不可信的是人性。因此，交易所需要设计更安全的产品逻辑，保证用户不受钓鱼攻击的损害，同时不影响用户体验。

2. 现货代币安全性：为了给用户提供更多的交易选择，顶级交易所推出了大量的代币。部分代币市场热度过去后，交易量大幅下降，但交易所并未下架。根据CoinMarketCap数据，Gateio交易所和MEXC交易所均支持1000+交易现货对。

3. 交易安全：基于FTX的DMG/USD交易对交易量线，当攻击发生时，交易量增加千倍，币价波动2-3倍，属于重大异常交易事件。