Người dùng mất hàng triệu đô vì rò rỉ khóa API và lời hồi đáp từ FTX
Một trader đã mất trắng hơn 1 triệu đô sau khi bị khai thác API kết nối với tài khoản giao dịch FTX của anh ta.
Diễn biến vụ hack và lời hồi đáp từ các bên
Theo nhà báo crypto Colin Wu, nạn nhân đầu tiên nhận thấy tài khoản của mình đã giao dịch token DMG hơn 5000 lần và gần 1,6 triệu USD của anh ta (gồm BTC, ETH, FTX…) đã bốc hơi khỏi tài khoản FTX. Sau đó, phóng viên xác nhận đây không phải là một trường hợp cá biệt, vì đã có thêm 3 nạn nhân khác.
Đến tối ngày 21/10, nạn nhân thứ 2 xuất hiện với báo cáo thiệt hại 1,5 triệu USD. Theo Bruce, anh chưa bao giờ “sử dụng 3Commas và thậm chí chưa bao giờ nghe nói về nó. Và tôi chưa bao giờ sử dụng API trong 2 năm qua”. Anh ta nói thêm đã có ai đó chiếm tài khoản và thực hiện giao dịch DMG vào ngày 18 và 19/10. Bruce bất bình tại sao FTX không có biện pháp kiểm soát rủi ro nào cho các hoạt động giao dịch bất hợp pháp như trên.
Về phần mình, FTX tuyên bố nguyên nhân vụ hack là do rò rỉ khóa API từ nền tảng giao dịch 3Commas. Trong khi đó, 3Commas lại phủ nhận, “nhiều nạn nhân bị ảnh hưởng chưa bao giờ là khách hàng của 3Commas và không có khả năng vi phạm bảo mật bắt nguồn từ các dịch vụ của 3Commas.”
Theo bản cập nhật sau đó, 3Commas tuyên bố một số API được liên kết với 3Commas mới vừa được tạo và sử dụng cho các giao dịch DMG trái phép. Các khóa API này không được lấy từ trang web 3Commas, nhưng có vẻ như một số người dùng đã vô tình truy cập vào các trang web mạo danh 3Commas. Từ đó, các trang này đã chiếm được API của người dùng và gây ra các sự cố trên.
Bồi thường “bất đắc dĩ” từ phía FTX
Đến rạng sáng nay (24/10), tỷ phú FTX Sam Bankman-Fried đã chính thức lên tiếng giải quyết sự cố. Ông cho biết sàn FTX sẽ bỏ ra 6 triệu USD để bồi thường cho người dùng, song quyết định hôm nay chỉ là một lần duy nhất, vì công ty sẽ không tạo “tiền lệ” hay thói quen bù đắp cho các vụ tấn công Phising như này.
“Để rõ ràng, lừa đảo hầu như luôn luôn là trường hợp người dùng tự nguyện (hay vô tình) cung cấp thông tin đăng nhập tài khoản của họ cho kẻ lừa đảo bằng cách truy cập vào một trang web xấu hoặc gì đó tương tự – nhưng bất chấp điều đó, chúng tôi vẫn có nghĩa vụ bảo vệ khách hàng một cách nghiêm túc.”
Nếu thủ phạm chịu thoả hiệp, trả lại 95% trong số 6 triệu USD đã đánh cắp từ tài khoản FTX trong vòng 24 giờ, hacker sẽ được minh oan, tỷ phú Bankman-Fried nói và “chỉ điểm” ví của kẻ tấn công.
Trở lại tuần trước, CEO FTX đã vạch ra một khuôn khổ hạn chế tác động của các vụ hack đang gây khó khăn cho toàn ngành, trong đó có đề nghị 5-5, cho phép hacker giữ lại 5% số tiền đánh cắp hoặc 5 triệu USD, tùy theo mức nào nhỏ hơn.
Bạn có muốn trở thành VIP/Pro trên 24HMoney? Hãy liên hệ với chúng tôi SĐT/ Zalo: 0981 935 283.
Để truyền thông cho doanh nghiệp, vui lòng liên hệ SĐT/ Zalo: 0908 822 699.
Hòm thư: phuongpt@24hmoney.vnMã | Giá | Biểu đồ | ||
---|---|---|---|---|
59,132.10 +800.90 (+1.37%) | ||||
2,986.34 +15.90 (+0.60%) |
Bình luận