Một trader đã mất trắng hơn 1 triệu USD sau khi bị khai thác API kết nối với tài khoản giao dịch FTX của mình thông qua nền tảng 3Commas.
Đến tối ngày 21/10, nạn nhân thứ 2 xuất hiện với báo cáo thiệt hại 1,5 triệu USD. Theo người này, anh chưa bao giờ “sử dụng 3Commas và thậm chí chưa bao giờ nghe nói về nó. Và tôi chưa bao giờ sử dụng API trong 2 năm qua”. Anh ta nói thêm đã có ai đó chiếm tài khoản và thực hiện giao dịch DMG vào ngày 18 và 19/10. Bruce bất bình tại sao FTX không có biện pháp kiểm soát rủi ro nào cho các hoạt động giao dịch bất hợp pháp như trên.
Về phần mình, FTX tuyên bố nguyên nhân vụ hack là do rò rỉ khóa API từ nền tảng giao dịch 3Commas. Trong khi đó, 3Commas lại phủ nhận, “nhiều nạn nhân bị ảnh hưởng chưa bao giờ là khách hàng của 3Commas và không có khả năng vi phạm bảo mật bắt nguồn từ các dịch vụ của 3Commas.”
Theo bản cập nhật sau đó, 3Commas tuyên bố một số API được liên kết với 3Commas mới vừa được tạo và sử dụng cho các giao dịch DMG trái phép. Các khóa API này không được lấy từ trang web 3Commas, nhưng có vẻ như một số người dùng đã vô tình truy cập vào các trang web mạo danh 3Commas. Từ đó, các trang này đã chiếm được API của người dùng và gây ra các sự cố trên.
Nếu thủ phạm chịu thoả hiệp, trả lại 95% trong số 6 triệu USD đã đánh cắp từ tài khoản FTX trong vòng 24 giờ, hacker sẽ được minh oan, tỷ phú Bankman-Fried nói và “chỉ điểm” ví của kẻ tấn công.
Trở lại tuần trước, CEO FTX đã vạch ra một khuôn khổ hạn chế tác động của các vụ hack đang gây khó khăn cho toàn ngành, trong đó có đề nghị 5-5, cho phép hacker giữ lại 5% số tiền đánh cắp hoặc 5 triệu USD, tùy theo mức nào nhỏ hơn.
Diễn biến vụ hack và lời hồi đáp từ các bên
Theo nhà báo crypto Colin Wu, nạn nhân đầu tiên nhận thấy tài khoản của mình đã giao dịch token DMG hơn 5000 lần và gần 1,6 triệu USD của anh ta (gồm BTC, ETH, FTX…) đã bốc hơi khỏi tài khoản FTX. Sau đó, phóng viên xác nhận đây không phải là một trường hợp cá biệt, vì đã có thêm 3 nạn nhân khác.Đến tối ngày 21/10, nạn nhân thứ 2 xuất hiện với báo cáo thiệt hại 1,5 triệu USD. Theo người này, anh chưa bao giờ “sử dụng 3Commas và thậm chí chưa bao giờ nghe nói về nó. Và tôi chưa bao giờ sử dụng API trong 2 năm qua”. Anh ta nói thêm đã có ai đó chiếm tài khoản và thực hiện giao dịch DMG vào ngày 18 và 19/10. Bruce bất bình tại sao FTX không có biện pháp kiểm soát rủi ro nào cho các hoạt động giao dịch bất hợp pháp như trên.
Về phần mình, FTX tuyên bố nguyên nhân vụ hack là do rò rỉ khóa API từ nền tảng giao dịch 3Commas. Trong khi đó, 3Commas lại phủ nhận, “nhiều nạn nhân bị ảnh hưởng chưa bao giờ là khách hàng của 3Commas và không có khả năng vi phạm bảo mật bắt nguồn từ các dịch vụ của 3Commas.”
Theo bản cập nhật sau đó, 3Commas tuyên bố một số API được liên kết với 3Commas mới vừa được tạo và sử dụng cho các giao dịch DMG trái phép. Các khóa API này không được lấy từ trang web 3Commas, nhưng có vẻ như một số người dùng đã vô tình truy cập vào các trang web mạo danh 3Commas. Từ đó, các trang này đã chiếm được API của người dùng và gây ra các sự cố trên.
Bồi thường “bất đắc dĩ” từ phía FTX
Đến rạng sáng nay (24/10), CEO FTX Sam Bankman-Fried đã chính thức lên tiếng giải quyết sự cố. Ông cho biết sàn FTX sẽ bỏ ra 6 triệu USD để bồi thường cho nạn nhân, dù không nhận lỗi về phần mình. Song quyết định hôm nay chỉ là một lần duy nhất, vì công ty sẽ không tạo “tiền lệ” hay thói quen bù đắp cho các vụ tấn công phising như này.Phishing (Tấn công giả mạo) là một hình thức tấn công mạng nguy hiểm, có thể gây ra nhiều thiệt hại cho các cá nhân, tổ chức hay doanh nghiệp. Hacker loại này thường mạo danh một đơn vị uy tín (thường qua email hay tin nhắn), dụ người dùng “mắc câu”, nhấp vào đường link giả mạo và cung cấp thông tin cá nhân cho chúng.“Để rõ ràng, lừa đảo hầu như luôn luôn là trường hợp người dùng tự nguyện (hay vô tình) cung cấp thông tin đăng nhập tài khoản của họ cho kẻ lừa đảo bằng cách truy cập vào một trang web xấu hoặc gì đó tương tự – nhưng bất chấp điều đó, chúng tôi vẫn có nghĩa vụ bảo vệ khách hàng một cách nghiêm túc.”
Nếu thủ phạm chịu thoả hiệp, trả lại 95% trong số 6 triệu USD đã đánh cắp từ tài khoản FTX trong vòng 24 giờ, hacker sẽ được minh oan, tỷ phú Bankman-Fried nói và “chỉ điểm” ví của kẻ tấn công.
Trở lại tuần trước, CEO FTX đã vạch ra một khuôn khổ hạn chế tác động của các vụ hack đang gây khó khăn cho toàn ngành, trong đó có đề nghị 5-5, cho phép hacker giữ lại 5% số tiền đánh cắp hoặc 5 triệu USD, tùy theo mức nào nhỏ hơn.