保定网络犯罪分子如何滥用API密钥窃取数百万美元

CyberNews研究人员发现，网络犯罪分子能够滥用加密货币交换API密钥并且在没有被授予提款权利的情况下从受害者的帐户中窃取加密货币。与此同时，超过1000000美元的加密货币被存放在API密钥暴露在公共代码存储库中的账户中。

在过去几年中，随着加密货币市场的爆炸式增长，各大公司开始提供应用程序和服务来帮助交易者简化交易流程。

要使用这些服务，交易者可以通过API密钥在加密货币交易中授予第三方程序访问其个人帐户的权限，API密钥允许这些程序代表他们执行操作，包括在不登录交易所的情况下打开和执行自动交易订单。

每组API密钥都包含两个重要元素：公共密钥和私有密钥，通常称为公钥和私钥。第三方应用程序使用该密钥来签署操作请求，并告知加密货币交换该应用程序有权访问交易者的帐户并执行API密钥支持的操作。

一旦您的API密钥被网络犯罪分子泄露或窃取将会导致灾难性的后果。不过，话虽如此，即使其他人窃取了您的API秘密密钥，他们也不能简单地将您的加密货币余额转移到自己的钱包中，因为默认情况下，加密货币交易所会禁用API提取权限。

但是，在进行威胁情报操作时，我们的研究人员发现，近几周，在整个黑客论坛中，被盗的加密货币交换API密钥的交易要约似乎一直在稳定增长。

显然，这是一种新兴的犯罪商业模式，“经验丰富的交易者”团队提供了通过利用被盗的API密钥来“清空”加密货币交易帐户的功能。

毫无疑问，这一现象引起了我们的注意。为了帮助加密货币交易用户保护其辛苦赚来的硬币，我们决定对这一新兴趋势展开，并尽可能多地了解威胁参与者如何利用这些API密钥。

我们的发现令人难以置信：犯罪分子似乎正在使用加密货币交易应用程序的被盗API密钥轻松地在所有主要的加密货币交易所上清空受害者的帐户。

更糟糕的是，犯罪分子可以轻易绕过API密钥上的“仅交易”设置，即使没有获得他们的帐户凭据或提款权，也可以从交易者的账户中窃取资金。

网络罪犯如何滥用被盗的API密钥

通常，加密货币交易所向交易者提供三种类型的API权限：

·