Les cybercriminels utilisent à mauvais escient les clés API pour voler des millions de crypto-monnaies à des commerçants sans méfiance, selon une nouvelle étude de CyberNews. Alors que le Bitcoin et d’autres crypto-monnaies ont gagné en popularité ces dernières années, les entreprises ont commencé à proposer des applications et d’autres services pour faciliter les échanges. Cependant, pour utiliser ces services, les traders doivent accorder à des programmes tiers l'accès à leurs comptes d'échange de crypto-monnaie via des clés API qui permettent à ces programmes d'effectuer des actions en leur nom, telles que l'ouverture et l'exécution d'ordres de trading automatiques. Ces clés API comprennent à la fois une clé publique et une clé privée, souvent appelée clé secrète. Cette clé secrète est utilisée par les applications tierces pour exécuter des ordres commerciaux au nom d'un utilisateur. Cependant, si un cybercriminel parvient à obtenir la clé secrète d’un utilisateur, il peut alors voler sa crypto-monnaie. Les bourses de crypto-monnaie fournissent généralement aux traders trois types d'autorisations API sous la forme d'autorisations de données, d'autorisations de négociation et d'autorisations de retrait. Les autorisations de données permettent aux API de lire les données du compte de trading d'un utilisateur, les autorisations de trading leur permettent d'exécuter des transactions, de passer des ordres d'ouverture et de clôture, et les autorisations de paiement leur permettent d'exécuter des transactions, de passer des ordres d'ouverture et de clôture. Autoriser le prélèvement de cryptomonnaies sur le compte d'échange d'un utilisateur et son transfert vers un autre emplacement. Pour des raisons de sécurité, les échanges de crypto-monnaie désactivent par défaut les autorisations de retrait. C'est pourquoi les cybercriminels ont utilisé les autorisations de trading pour vider les portefeuilles de cryptomonnaies de leurs victimes.