Niesławny detektyw web3 Twitter ZachXBT zgłaszane 20 grudnia, że czterdziestu czterech użytkowników 3Commas straciło 14.8 miliona dolarów z powodu kradzieży. ZachXBT twierdził, że użytkownicy tworzą pozew zbiorowy przeciwko 3Commas.
3Commas wydało oświadczenie, w którym twierdzi, że obala wszystkie roszczenia. Firma argumentowała, że oskarżenia były „fałszywe” i „bezpodstawne”. Ponadto platforma handlu kryptowalutami twierdziła, że ma konkretne dowody na to, że phishing odegrał rolę w niektórych incydentach.
użytkownicy twierdził, Firma 3Commas ujawniła swoje klucze API, co spowodowało nieautoryzowane transakcje. Oskarżenia były skierowane bezpośrednio do pracowników 3Commas, a nie do jakiejś nikczemnej strony trzeciej.
„Pracownicy 3commas kradną klucze API, do których załączyłem zrzuty ekranu z Cloudflare, które pokazują pulpit nawigacyjny 3commas i sposób, w jaki klucze API są tam ujawnione”.
Dodatkowo firma Zatwierdzony że nie doszło do naruszenia mechanizmów szyfrowania bezpieczeństwa lub baz danych. Według 3Commas, gdyby doszło do naruszenia, wszystkie klucze API i połączone konta zostałyby naruszone.
Jednak ostatnie raporty Zach_XBT najwyraźniej opowiadają inną historię, ponieważ twierdzi on, że użytkownicy skarżyli się na wielu giełdach.
Tożsamość użytkowników, których to dotyczy, nie została ujawniona, ani też jak dotąd nie pojawili się publicznie. Biorąc pod uwagę obfitość oszustw finansowych i prób phishingu związanych z produktami kryptograficznymi, niektóre, w tym jeden pracownik VaynerMedia, twierdził, że
„Mieliśmy ponad 50 posiadaczy BAYC lub ogólnie ludzi z NFT, REKT przez oszustwa typu phishing i inne oszustwa. Nie trudno w to uwierzyć. Nie bronię tutaj 3 przecinków, nigdy ich nie używałem, ale nie sądzę, aby 44 sugerowało coś konkretnego na temat 3 przecinków”.
Niezależnie od tego, w ciągu ostatnich miesięcy pojawiała się coraz większa liczba raportów związanych z wyciekiem kluczy API z 3Commas. Nie jest jasne, czy użytkownicy są coraz częściej celem wyrafinowanych oszustw typu phishing, czy też pracownicy kradną dane.
Wcześniejsze doniesienia nt 3 Hacki z przecinkami ujawnił, że klucze API były używane do transakcji prania na parach handlowych o niskiej płynności w celu prania funduszy przez złych aktorów. Takie transakcje nie zostały zgłoszone w tej ostatniej rundzie exploitów w tym czasie.
Jednak faktem jest, że użytkownicy stracili znaczną sumę pieniędzy poprzez integrację 3Commas z giełdami. Dlatego prawdopodobnie wymagane są dalsze badania i zwiększenie bezpieczeństwa.
Źródło: https://cryptoslate.com/3commas-denies-accusations-of-leaking-api-data-resulting-in-14-8m-in-unauthorized-trades/