Tối ngày 22/10/2022, Wu Blockchain thông báo có bốn vụ đánh cắp tiền mã hóa bằng cách ăn cắp API Key và giao dịch trên sàn FTX. Ba trong số này có liên quan đến 3Commas, một nhà cung cấp các công cụ giao dịch thông minh và bot giao dịch tự động cho nhà đầu tư tiền mã hóa. Tuy nhiên, 3Commas phủ nhận mọi cáo buộc liên quan và cho rằng người dùng bị đánh cắp API Key do truy cập vào các website giả mạo.
Các nạn nhân bị mất cắp như thế nào?
Theo các thông tin do Wu Blockchain công bố, bốn nạn nhân bị đánh cắp tiền mã hóa trong tài khoản FTX thông qua các giao dịch trái phép. Ba trong số này đã tạo API Key để sử dụng trên nền tảng giao dịch 3commas.io. Nạn nhân còn lại chưa bao giờ sử dụng và không có bất cứ tài khoản nào trên 3commas.io nhưng từng tạo một API Key để thiết lập một máy chủ AWS cách đây hai năm.
Tất cả các API Key được tạo trên tài khoản FTX của nạn nhân đã không thực hiện bất cứ giao dịch nào trong một thời gian dài (lâu hơn 6 tháng) nhưng những người này quên xóa API Key. Các giao dịch xảy ra từ ngày 18/10 đến ngày 21/10/2022 bằng các tài khoản FTX của nạn nhân trên các cặp tiền mã hóa có thanh khoản thấp, gồm: DMG/USD, MER/USD, và PORT/USD.
FTX bồi thường 6 triệu USD cho các nạn nhân
Sau khi vụ việc được công khai trên Twitter, ông Sam Bankman-Fried, Giám đốc Điều hành sàn giao dịch tiền mã hóa FTX, cho biết, họ sẽ bồi thường 6 triệu USD cho các nạn nhân bị thiệt hại từ sự cố trên. Tuy nhiên, tỉ phú Sam Bankman-Fried khẳng định đây là lần đầu tiên và duy nhất FTX chấp nhận bồi thường cho các nạn nhân vì họ sẽ không tạo “tiền lệ” bồi thường cho các nạn nhân của các vụ tấn công giả mạo như thế này.
Bên cạnh thông báo bồi thường, Sam Xoăn còn chỉ ra ba địa chỉ ví của những kẻ tấn công trong vụ lừa đảo kể trên và đề nghị không truy tố nếu chúng trả lại 5,7 triệu USD (khoảng 95% số tiền đã đánh cắp).
Các từ ngữ chuyên môn trong bài viết:
API (Application Programming Interface hay Giao diện lập trình ứng dụng) là cơ chế cho phép hai chương trình phần mềm giao tiếp với nhau bằng một tập hợp các định nghĩa và giao thức. Ví dụ: Hệ thống phần mềm của cơ quan thời tiết chứa dữ liệu về thời tiết hàng ngày. Ứng dụng thời tiết trên điện thoại của bạn sẽ “trò chuyện” với hệ thống này qua API và hiển thị thông tin cập nhật về thời tiết hàng ngày trên điện thoại của bạn.
API Key (Khóa API hay khóa giao diện lập trình ứng dụng) là một số nhận dạng duy nhất được sử dụng để xác thực người dùng, nhà phát triển hoặc chương trình gọi đến một API nào đó. Thông thường, API Key được sử dụng để xác thực một dự án bằng API thay vì người dùng. Các nền tảng khác nhau có thể triển khai và sử dụng API Key theo những cách khác nhau.