En gruppe handelsmenn sa det forrige uke krypto for 22 millioner dollar ble stjålet gjennom kompromitterte API-nøkler fra handelsplattformen 3Commas. Onsdag innrømmet 3Commas at det var kilden til den API-lekkasjen.
Kunngjøringen kom etter at en anonym Twitter-bruker skaffet rundt 100,000 3 API-nøkler tilhørende XNUMXCommas-brukere og publiserte det på nettet.
3Commas hadde opprinnelig insistert på at det ikke var noe sikkerhetsproblem på slutten, og medgründer Yuriy Sorokin antydet gjentatte ganger på Twitter at et phishing-angrep fikk brukere til å gi opp dataene sine.
Men på onsdag twitret Sorokin: "Vi så hackerens melding og kan bekrefte at dataene i filene er sanne ... Vi beklager at dette har kommet så langt og vil fortsette å være gjennomsiktig i vår kommunikasjon rundt situasjonen."
3Commas er en plattform som lar brukere koble flere kryptoutvekslingskontoer – for eksempel de som holdes på Binance – til automatisert handelsprogramvare. Alt dette gjøres via APIer (applikasjonsprogrammeringsgrensesnitt), de standardiserte mekanismene som gjør at separate programvarekomponenter kan kommunisere med hverandre og utføre oppgaver. Tanken er at mennesker ikke trenger å gjøre det harde arbeidet med å tenke på fagene sine. I stedet gjøres det hele umiddelbart og automatisk via kode.
Helt til feil personer får tilgang til API-ene.
Blockchain speider @ZachXBT sa tidligere på Twitter at han hadde verifisert en gruppe på 44 ofre som tapte totalt 14.8 millioner dollar gjennom API-nøkler stjålet fra 3Commas.
Som svar tvitret Sorokin at "Hvis du er et offer, betyr det at nøklene dine på en eller annen måte ble lekket", men "ikke fra 3Commas." Hvis de lekkede API-nøklene hadde vært fra 3Commas, "ville du ha sett millioner av tilfeller, ikke hundre," resonnerte han.
I en separat tråd, sprengte han «inkompetanse fra store mediekilder» og stilte spørsmål ved gyldigheten av et crowdsourcet regneark med kompromitterte kontoer. "Vær oppmerksom på at flertallet av brukerne som rapporterte tap, ikke en gang åpnet en støttebillett med børsen, og ikke gikk til politiet," twitret Sorokin. "Hvordan ble denne informasjonen bekreftet?"
Igjen han hevdet at det var for få hendelser til at det kunne ha vært en 3Commas-utnyttelse. "Det er over 1 [million] nøkler koblet til 3Commas, med ~100 brukere som rapporterer problemer med kontoene sine," tvitret Sorokin. "Hvorfor ville det skje hvis [database] ble lekket?"
I dag tvitret en bekreftet ZachXBT at "i flere uker har [3Commas] klandret brukerne sine og godtatt null ansvar."
"Du fortsatte å lyve og si at dette var vår feil i stedet for å ta ansvar og forhindret ytterligere utnyttelser," la til @CoinMamba, en annen 3Commas-bruker som sa at han tapte penger. "Skal du refundere brukerne nå?"
Dette er ikke første gang 3Commas og API-håndteringen ble undersøkt. Omtrent en måned før FTX begjærte seg konkurs, gikk Sam Bankman-Fried med på å refundere 6 millioner dollar til kunder som ble berørt av det som ble beskrevet som en phishing-svindel involverer 3 kommaer.
Onsdag tvitret Binance-sjef Changpeng Zhao at han var "rimelig sikker på" at det var "utbredte API-nøkkellekkasjer" fra 3Commas.
CZ la til at brukere bør deaktivere API-nøkler i 3Commas. Dette er hva 3Commas nå anbefaler også.
"Som en umiddelbar handling har vi bedt om at Binance, Kucoin og andre støttede børser trekker tilbake alle nøklene som var koblet til 3Commas," tvitret Sorokin.
3Commas har ikke svart på en forespørsel om ytterligere kommentar fra dekryptere.
Hold deg oppdatert på kryptonyheter, få daglige oppdateringer i innboksen din.
Kilde: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
