Генеральный директор Binance Чанпэн Чжао (Чехия) 8 декабря предупредил своих 28 миллионов подписчиков в Твиттере, что он «достаточно уверен» в утечке ключей API на платформе управления торговлей криптовалютой.
Я достаточно уверен, что из 3Commas происходят широко распространенные утечки ключей API. Если вы когда-либо помещали API-ключ в 3Commas (с любой биржи), немедленно отключите его.
пребывание #SAFU.
- CZ Binance (@cz_binance) 28 декабря 2022
Раскрытие CZ последовало за инцидентом 9 декабря, когда Binance удалил учетную запись пользователя который жаловался на потерю средств днем ранее. Этот пользователь утверждал, что утечка ключа API, связанного с 3Commas, использовалась «для совершения сделок с монетами с низкой капитализацией, чтобы поднять цену и получить прибыль». Binance отказался возместить пользователю. CZ написал в Твиттере, что потеря не поддается проверке, и если компания компенсирует такие потери, «мы просто будем платить за то, чтобы пользователи потеряли свои ключи API».
Mamba, мы практически не можем быть уверены, что пользователи не украли свои собственные API-ключи. Сделки проводились с использованием созданных вами API-ключей. В противном случае мы просто будем платить за то, что пользователи потеряют свои API-ключи. Надеюсь, вы понимаете.
- CZ Binance (@cz_binance) 9 декабря 2022
11 декабря — генеральный директор 3Commas Юрий Сорокин. заявлено в блоге компании что в Твиттере и на YouTube распространялись поддельные скриншоты, призванные показать, что у компании слабая безопасность и что сотрудники крадут ключи API. Сорокин опроверг обвинения в углубленном техническом анализе изображений:
«Человек, создавший скриншоты, отлично поработал с HTML-редактором, но он допустил несколько ключевых ошибок, которые легко доказывают, что его заявления являются фальшивыми. Мы рассмотрим их пункт за пунктом».
Проблемы с безопасностью впервые возникли в 3Commas в конце октября. В то время все еще действующий Биржа FTX выпустила предупреждение системы безопасности в ответ на сообщения пользователей о несанкционированных сделках торговых пар с монетой DMG на FTX. 3Commas и FTX установили, что хакеры создали учетные записи 3Commas для совершения сделок. Однако, согласно блогу 3Commas, «ключи API были взяты не из 3Commas, а из-за пределов платформы 3Commas».
Связанный: Как Binance защищает своих пользователей с помощью программы ответственной торговли
В последующем сообщении в блоге Сорокин признал, что «у нас есть веские доказательства того, что фишинг, по крайней мере, в какой-то степени способствовал» потерям пользователей.
Тем временем пользователь Twitter заявил, что все ключи API 3Commas были утекли.
PSA
Утечка API 3Commas была опубликована, если вы еще не УДАЛИТЕ СВОЙ API-КЛЮЧ pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) 28 декабря 2022
Теперь Сорокин подтвердил утечку, добавив, что не было обнаружено никаких доказательств того, что утечка была внутренней работой.
1. Заявление от 3Commas:
Мы видели сообщение хакера и можем подтвердить, что данные в файлах верны. В качестве незамедлительных действий мы попросили Binance, Kucoin и другие поддерживаемые биржи отозвать все ключи, которые были связаны с 3Commas.
— Юрий Сорокин (@YS_3Commas) 28 декабря 2022
Источник: https://cointelegraph.com/news/3commas-ceo-confirms-api-key-leak-following-warning-from-cz.