网络犯罪分子如何使用API密钥窃取数百万美元

CyberNews研究人员发现，网络犯罪分子能够滥用加密货币交换API密钥并且在没有被授予提款权利的情况下从受害者的帐户中窃取加密货币。与此同时，超过1000000美元的加密货币被存放在API密钥暴露在公共代码存储库中的账户中。

在过去几年中，随着加密货币市场的爆炸式增长，各大公司开始提供应用程序和服务来帮助交易者简化交易流程。

要使用这些服务，交易者可以通过API密钥在加密货币交易中授予第三方程序访问其个人帐户的权限，API密钥允许这些程序代表他们执行操作，包括在不登录交易所的情况下打开和执行自动交易订单。

每组API密钥都包含两个重要元素：公共密钥和私有密钥，通常称为公钥和私钥。第三方应用程序使用该密钥来签署操作请求，并告知加密货币交换该应用程序有权访问交易者的帐户并执行API密钥支持的操作。

一旦您的API密钥被网络犯罪分子泄露或窃取将会导致灾难性的后果。不过，话虽如此，即使其他人窃取了您的API秘密密钥，他们也不能简单地将您的加密货币余额转移到自己的钱包中，因为默认情况下，加密货币交易所会禁用API提取权限。

但是，在进行威胁情报操作时，我们的研究人员发现，最近几周，在整个黑客论坛中，被盗的加密货币交换API密钥的交易要约似乎一直在稳定增长。

显然，这是一种新兴的犯罪商业模式，“经验丰富的交易者”团队提供了通过利用被盗的API密钥来“清空”加密货币交易帐户的功能。

毫无疑问，这一现象引起了我们的注意。为了帮助加密货币交易用户保护其辛苦赚来的硬币，我们决定对这一新兴趋势展开，并尽可能多地了解威胁参与者如何利用这些API密钥。

我们的发现令人难以置信：犯罪分子似乎正在使用加密货币交易应用程序的被盗API密钥轻松地在所有主要的加密货币交易所上清空受害者的帐户。

更糟糕的是，犯罪分子可以轻易绕过API密钥上的“仅交易”设置，即使没有获得他们的帐户凭据或提款权，也可以从交易者的账户中窃取资金。

网络罪犯如何滥用被盗的API密钥

通常，加密货币交易所向交易者提供三种类型的API权限：

· 数据权限，允许API可以读取您的exchange帐户数据，包括未结订单，余额和交易历史记录，而无需对帐户进行任何更改。

· 交易权限，允许API代表您执行交易，下达未结订单和已结束订单。

· 提款许可，允许API从您的交换帐户中提取加密货币并将其转移到另一个位置。启用此权限后，应用程序可以将您的资金转移到另一个钱包，而无需您的许可。

出于安全原因，默认情况下，加密货币交易所禁用取款权限。话虽如此，在网络犯罪论坛上发布的大多数广告都声称，其所有者最多可以提取受害者的加密货币余额的80%，然后将其与被盗的API密钥的所有者进行分割。

(黑客论坛上API密钥攻击服务广告的一个例子：“有经验的交易者”根据交易所的不同，可以从被盗用的交易帐户中提取多达80%的资金。)

这会让您认为，这些广告背后的犯罪服务提供商将需要已被授予撤回权限的被盗API密钥。但是，在进行了一系列测试之后，我们甚至找不到一个启用了撤回权的待售的被盗API密钥。

（编辑：莆田站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!