Tak powiedziała grupa traderów w zeszłym tygodniu Skradziono kryptowaluty o wartości 22 milionów dolarów poprzez przejęte klucze API z platformy transakcyjnej 3Commas. W środę 3Commas przyznało, że było źródłem tego wycieku API.
Ogłoszenie pojawiło się po tym, jak anonimowy użytkownik Twittera uzyskał około 100,000 3 kluczy API należących do użytkowników XNUMXCommas i opublikował je online.
3Commas początkowo twierdził, że nie ma problemu z bezpieczeństwem po jego stronie, a współzałożyciel Yuriy Sorokin wielokrotnie sugerował na Twitterze, że atak phishingowy spowodował, że użytkownicy oddali swoje dane.
Ale w środę Sorokin napisał na Twitterze: „Widzieliśmy wiadomość hakera i możemy potwierdzić, że dane w plikach są prawdziwe… Przykro nam, że zaszło to tak daleko i nadal będziemy transparentni w naszej komunikacji dotyczącej sytuacji”.
3Commas to platforma, która pozwala użytkownikom łączyć wiele kont wymiany kryptowalut — takich jak te przechowywane na Binance — z oprogramowaniem do automatycznego handlu. Wszystko to odbywa się za pośrednictwem interfejsów API (interfejsów programowania aplikacji), ustandaryzowanych mechanizmów, które umożliwiają oddzielnym komponentom oprogramowania komunikowanie się ze sobą i wykonywanie zadań. Chodzi o to, że ludzie nie muszą wykonywać ciężkiej pracy polegającej na myśleniu o swoich branżach. Zamiast tego wszystko odbywa się natychmiast i automatycznie za pomocą kodu.
Dopóki niewłaściwi ludzie nie uzyskają dostępu do interfejsów API.
Detektyw Blockchain @Zachxbt wcześniej powiedział na Twitterze, że zweryfikował grupę 44 ofiar, które straciły łącznie 14.8 miliona dolarów przez klucze API skradzione z 3Commas.
W odpowiedzi Sorokin napisał na Twitterze, że „Jeśli jesteś ofiarą, oznacza to, że w jakiś sposób wyciekły twoje klucze”, ale „nie z 3Commas”. Gdyby klucze API, które wyciekły, pochodziły z 3Commas, „widziałbyś miliony przypadków, a nie sto” – rozumował.
W oddzielny wątek, skrytykował „niekompetencję dużych mediów” i zakwestionował ważność udostępnionego przez społeczność arkusza kalkulacyjnego zawierającego przejęte konta. „Zwróć uwagę, że większość użytkowników zgłaszających straty nawet nie otworzyła zgłoszenia do obsługi giełdy i nie poszła na policję” – napisał Sorokin na Twitterze. „Jak zweryfikowano te informacje?”
Znowu on zapewnił że było zbyt mało incydentów, aby był to exploit 3Commas. „Istnieje ponad 1 [milion] kluczy połączonych z 3Commas, a około 100 użytkowników zgłasza problemy ze swoimi kontami”, napisał Sorokin na Twitterze. „Dlaczego miałoby się to stać, gdyby [baza danych] wyciekła?”
Dziś usprawiedliwiony ZachXBT napisał na Twitterze, że „od tygodni [3Commas] obwinia swoich użytkowników i nie przyjmuje żadnej odpowiedzialności”.
„Ciągle kłamałeś i powtarzałeś, że to nasza wina, zamiast wziąć odpowiedzialność i zapobiec dalszym wyczynom” – dodał @CoinMamba, inny użytkownik 3Commas, który powiedział, że stracił środki. „Czy teraz zwrócicie użytkownikom pieniądze?”
To nie pierwszy raz, kiedy 3Commas i jego obsługa API zostały poddane kontroli. Około miesiąca przed ogłoszeniem bankructwa przez FTX, Sam Bankman-Fried zgodził się zwrócić 6 milionów dolarów klientom dotkniętym przez coś, co zostało opisane jako phishing scam z udziałem 3 przecinków.
W środę dyrektor generalny Binance, Changpeng Zhao, napisał na Twitterze, że jest „wystarczająco pewny”, że doszło do „powszechnych wycieków kluczy API” z 3Commas.
CZ dodał, że użytkownicy powinni wyłączyć swoje klucze API w 3Commas. To właśnie teraz zaleca 3Commas.
„W ramach natychmiastowego działania poprosiliśmy Binance, Kucoin i inne obsługiwane giełdy o unieważnienie wszystkich kluczy połączonych z 3Commas” — napisał Sorokin na Twitterze.
3Commas nie odpowiedział na prośbę o dalsze komentarze Odszyfruj.
Bądź na bieżąco z wiadomościami o kryptowalutach, otrzymuj codzienne aktualizacje w swojej skrzynce odbiorczej.
Źródło: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks