Группа трейдеров на прошлой неделе заявила, что Украдены криптовалюты на сумму 22 миллиона долларов. через скомпрометированные API-ключи торговой площадки 3Commas. В среду 3Commas признала, что это источник утечки API.
Объявление было сделано после того, как анонимный пользователь Twitter получил около 100,000 3 ключей API, принадлежащих пользователям XNUMXCommas, и опубликовал их в Интернете.
3Commas изначально настаивал на том, что с его стороны не было проблем с безопасностью., а соучредитель Юрий Сорокин неоднократно предполагал в Твиттере, что фишинговая атака заставила пользователей отказаться от своих данных.
Но в среду Сорокин написал в Твиттере: «Мы видели сообщение хакера и можем подтвердить, что данные в файлах верны… Мы сожалеем, что это зашло так далеко, и продолжим быть прозрачными в наших сообщениях о ситуации».
3Commas — это платформа, которая позволяет пользователям связывать несколько учетных записей криптобиржи, например учетных записей Binance, с программным обеспечением для автоматической торговли. Все это делается с помощью API (интерфейсов прикладного программирования), стандартизированных механизмов, которые позволяют отдельным программным компонентам взаимодействовать друг с другом и выполнять задачи. Идея состоит в том, что людям не нужно выполнять тяжелую работу по размышлениям о своих профессиях. Вместо этого все делается мгновенно и автоматически с помощью кода.
Пока не те люди получат доступ к API.
Блокчейн-сыщик @ZachXBT ранее сообщил в Твиттере, что проверил группу из 44 жертв, которые потеряли в общей сложности 14.8 млн долларов из-за API-ключей, украденных у 3Commas.
В ответ Сорокин написал в твиттере, что «если вы жертва, значит, каким-то образом утекли ваши ключи», но «не от 3Commas». Если бы утечка ключей API была от 3Commas, «вы бы видели миллионы случаев, а не сотню», — рассуждал он.
В отдельная нить, он раскритиковал «некомпетентность крупных медиа-источников» и поставил под сомнение достоверность краудсорсинговой таблицы скомпрометированных учетных записей. «Обратите внимание, что большинство пользователей, сообщающих о потерях, даже не открывали тикет в службу поддержки при обмене и не обращались в полицию», — написал Сорокин. «Как была проверена эта информация?»
Опять он утверждал что было слишком мало инцидентов, чтобы это был эксплойт 3Commas. «К 1Commas подключено более 3 [миллиона] ключей, и около 100 пользователей сообщают о проблемах со своими учетными записями», — написал Сорокин в Твиттере.. «Почему бы это произошло, если [база данных] просочилась?»
Сегодня подтвержденный ZachXBT написал в Твиттере, что «в течение нескольких недель [3Commas] обвиняли своих пользователей и не брали на себя никакой ответственности».
«Вы продолжали лгать и говорить, что это наша вина, вместо того, чтобы взять на себя ответственность и предотвратить дальнейшие подвиги», — добавил @CoinMamba, еще один пользователь 3Commas, который заявил, что потерял средства. «Теперь вы собираетесь возвращать пользователям деньги?»
Это не первый раз, когда 3Commas и его API подвергаются тщательной проверке. Примерно за месяц до того, как FTX подала заявление о банкротстве, Сэм Бэнкман-Фрид согласился вернуть 6 миллионов долларов клиентам, пострадавшим от того, что было описано как мошенническим с участием 3Commas.
В среду генеральный директор Binance Чанпэн Чжао написал в Твиттере, что он «достаточно уверен» в «массовых утечках ключей API» от 3Commas.
CZ добавил, что пользователи должны отключить свои ключи API в 3Commas. Это то, что сейчас рекомендует 3Commas.
«В качестве незамедлительных действий мы попросили Binance, Kucoin и другие поддерживаемые биржи отозвать все ключи, которые были связаны с 3Commas», — написал Сорокин в Твиттере.
3Commas не ответил на запрос о дальнейших комментариях от Decrypt.
Будьте в курсе крипто-новостей, получайте ежедневные обновления на свой почтовый ящик.
Источник: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks.
