skip to Main Content

Il cybercrime guarda alle API per sfruttare il boom delle criptovalute

di Pierguido Iezzi

Boom per le cryptocurrencies, che vengono scambiate grazie alle chiavi API

Con l’esplosione del mercato delle criptovalute e l’aumento del loro valore negli ultimi anni, sempre più aziende hanno deciso di offrire app e servizi che permettano ai trader di rendere più snello e produttivo il loro modus operandi. Per utilizzare questi servizi i trader devono consentire a programmi terzi l’accesso ai propri conti personali sugli exchange di cryprocurrencies. Questo avviene attraverso delle chiavi API che permettono ai programmi di eseguire determinate azioni automatizzate, come l’apertura e la chiusura di ordini, senza effettuare ogni volta il login nell’exchange delle criptovalute. Ogni set di chiavi include due elementi: una chiave pubblica e una privata, generalmente definite “public key” e “secret key”. La chiave privata viene utilizzata da app esterne per registrare le richieste di operazioni di trading e comunica con l’exchange affinché le operazioni vengano effettivamente eseguite. Questo è possibile grazie al consenso implicito contenuto al suo interno del legittimo proprietario.

I rischi legati alle API delle criptovalute

Come è facilmente intuibile, se le API keys dovessero diventare di pubblico dominio o cadere nelle mani sbagliate, le conseguenze potrebbero essere devastanti. Va però precisato che il solo possesso della chiave segreta non consente l’esecuzione di determinate operazioni, come il trasferimento di fondi o il loro prelievo. Questo tipo di operazioni più delicate infatti non possono essere basate solamente sull’autorizzazione via API. Purtroppo le ultime analisi rilevano un numero sempre maggiore di scambi di chiavi API di questo tipo sui forum underground. E’un segno di allarme che lascia intuire la nascita di un nuovo business illecito formato da squadre di “trader esperti” che si offrono di ripulire i conti cryptocurrency exchange facendo leva sul modello di estorsione appena descritto.

Come fanno i cybercriminali ad aggirare le difese?

Solitamente gli exchange di criptovalute offrono ai trader tre tipi di permessi API:

  • Un permesso relativo ai dati: consente alle API di leggere i dati del conto, inclusi tutti gli ordini aperti, bilanci e operazioni passate, senza effettuare alcuna modifica all’account;
  • Un permesso relativo al trading: consente alle API di eseguire scambi, effettuare ordini aperti e chiudere ordini al posto del trader;
  • Un permesso relativo al prelievo: consente alle API di prelevare criptovaluta dal conto e trasferirlo. Con questo permesso attivo una app potrebbe trasferire i soldi contenuti nel conto senza aver bisogno del consenso dell’utente.

Per motivi di sicurezza gli exchange disattivano di default quest’ultimo permesso.

Come avviene il furto delle API keys

Per sottrarre denaro dai conti delle vittime i Criminal Hacker non hanno bisogno di trasferirli direttamente sul proprio conto. Gli utenti che effettuano operazioni di trading (con i permessi sopra elencati attivi), grazie all’inganno di bot creati dai criminali informatici, vengono costretti a chiudere in perdita “regalando” così inconsciamente i soldi persi ai criminali stessi. Una ulteriore tattica sfruttata dai Criminal hacker è quella inerente ai sell wall. I sell wall sono una tecnica di manipolazione del mercato piuttosto comune, utilizzata sia sul mercato azionario che su quello delle criptovalute. In questo secondo caso vengono creati artificialmente da manipolatori di mercato enormi ordini di vendita per abbassare i prezzi delle criptovalute. Lo scopo è di riacquistare grandi quantità di valuta a prezzi bassi.

Il cybercrime usa account compromessi

I cyber criminali si sono ingegnati nell’usare una tecnica simile ma con una sottile differenza. I sell wall vengono infatti creati dai criminali stessi, utilizzando account compromessi e grazie alle API keys rubate.  Per generare cambiamenti nel prezzo delle criptovalute, i criminali creano dei bot di trading. Così facendo hanno la possibilità di prendere due strade: uno consiste nell’aprire dei piccoli ordini di vendita al di sotto del valore del mercato, mentre l’altro, se il bilancio della vittima lo consente, nell’aprire un solo grosso ordine di vendita. In parallelo lo stesso bot apre ordini di acquisto automatici, che la vittima viene costretta a vendere. Un’altra tecnica utilizzata per sottrarre criptovaluta da conti compromessi consiste nel price boosting. Questo prevede l’acquisto di monete di basso valore il cui volume di scambio è estremamente scarso. Il fine è di aumentare il prezzo delle monete stesse per un breve lasso di tempo e rivenderle alla vittima a tassi elevati.

Come proteggere le proprie chiavi API

Sebbene il trading di criptovalute sia un’attività generalmente svolta da persone qualificate, molti potrebbero non essere al corrente del rischio o non conoscere le tecniche usate dai cyber criminali. Esistono comunque delle best practices per la protezione e la cybersecurity delle proprie chiavi API e per evitare che queste vengano abusate da trader malintenzionati:

  • Aggiungere il proprio indirizzo IP alla whitelist. Molti exchange di criptovalute consentono questa attività di “whitelisting” di indirizzi IP per l’utilizzo delle chiavi. Con questo semplice passaggio, a meno che non abbiano accesso al pannello di controllo del tuo conto, la maggior parte dei criminali saranno messi fuori gioco;
  • Trattare le proprie chiavi API con la stessa premura della chiave privata del proprio wallet. Non è consigliabile conservarle sul proprio hard drive o rivelarle a nessuno;
  • Modificare costantemente le password e le chiavi API.

Si tratta di consigli piuttosto semplici da seguire ma che possono fare una differenza enorme a livello economico.

Non abbassiamo la guardia!

Back To Top