Minulý týždeň to povedala skupina obchodníkov Ukradli kryptomeny v hodnote 22 miliónov dolárov prostredníctvom kompromitovaných API kľúčov z obchodnej platformy 3Commas. V stredu 3Commas priznal, že to bol zdroj tohto úniku API.
Oznámenie prišlo po tom, čo anonymný používateľ Twitteru získal približne 100,000 3 kľúčov API patriacich používateľom XNUMXCommas a zverejnil ich online.
3Commas pôvodne trval na tom, že na jeho konci nie je žiadny bezpečnostný probléma spoluzakladateľ Yuriy Sorokin na Twitteri opakovane navrhol, že phishingový útok spôsobil, že používatelia sa vzdali svojich údajov.
V stredu však Sorokin tweetoval: „Videli sme správu od hackera a môžeme potvrdiť, že údaje v súboroch sú pravdivé... Je nám ľúto, že to došlo tak ďaleko a v našej komunikácii o situácii budeme naďalej transparentne.“
3Commas je platforma, ktorá používateľom umožňuje prepojiť viaceré účty na burze kryptomien – ako sú účty vedené na Binance – s automatizovaným obchodným softvérom. To všetko sa deje prostredníctvom API (aplikačných programovacích rozhraní), štandardizovaných mechanizmov, ktoré umožňujú samostatným softvérovým komponentom navzájom komunikovať a vykonávať úlohy. Myšlienka je, že ľudia nemusia robiť ťažkú prácu premýšľania o svojich obchodoch. Namiesto toho sa to všetko robí okamžite a automaticky pomocou kódu.
Kým nesprávni ľudia nezískajú prístup k API.
Blockchainový detektív @ZachXBT predtým na Twitteri uviedol, že overil skupinu 44 obetí, ktoré stratili celkovo 14.8 milióna dolárov prostredníctvom kľúčov API ukradnutých spoločnosti 3Commas.
V reakcii na to Sorokin na Twitteri napísal, že „Ak ste obeťou, znamená to, že vaše kľúče nejakým spôsobom unikli“, ale „nie z 3Commas“. Ak by uniknuté kľúče API pochádzali od 3Commas, „videli by ste milióny prípadov, nie sto,“ uvažoval.
V samostatné vlákno, odsúdil „nekompetentnosť veľkých mediálnych zdrojov“ a spochybnil platnosť crowdsourcovanej tabuľky kompromitovaných účtov. „Venujte si pozornosť, že väčšina používateľov, ktorí hlásia straty, ani neotvorila podporný lístok s burzou a nešla na políciu,“ napísal Sorokin na Twitteri. "Ako boli tieto informácie overené?"
Opäť on tvrdil, že bolo príliš málo incidentov na to, aby išlo o exploit 3Commas. „K 1Commas je pripojených viac ako 3 [milión] kľúčov, pričom približne 100 používateľov hlási problémy so svojimi účtami,“ napísal Sorokin na Twitteri.. "Prečo by sa to stalo, keby [databáza] unikla?"
Dnes potvrdený ZachXBT tweetoval, že „celé týždne [3Commas] obviňovali svojich používateľov a neprijímali žiadnu zodpovednosť.“
"Stále ste klamali a tvrdili, že to bola naša chyba, namiesto toho, aby ste prevzali zodpovednosť a zabránili ste ďalšiemu zneužitiu," dodal @CoinMamba, ďalší používateľ 3Commas, ktorý povedal, že stratil prostriedky. "Chcete teraz vrátiť používateľom peniaze?"
Nie je to prvýkrát, čo sa 3Commas a jeho spracovanie API dostali pod kontrolu. Asi mesiac predtým, ako FTX vyhlásila bankrot, Sam Bankman-Fried súhlasil s vrátením 6 miliónov dolárov zákazníkom postihnutým tým, čo bolo opísané ako phishing podvod zahŕňajúce 3 čiarky.
V stredu generálny riaditeľ Binance Changpeng Zhao na Twitteri uviedol, že si je „primerane istý“, že došlo k „rozšíreným únikom kľúčov API“ od spoločnosti 3Commas.
CZ dodal, že používatelia by mali vypnúť svoje API kľúče v 3Commas. To je to, čo teraz odporúča aj 3Commas.
„Ako okamžité opatrenie sme požiadali, aby Binance, Kucoin a ďalšie podporované burzy zrušili všetky kľúče, ktoré boli pripojené k 3Commas,“ napísal Sorokin na Twitteri.
3Commas neodpovedala na žiadosť o ďalší komentár od dešifrovať.
Majte prehľad o krypto správach, dostávajte denné aktualizácie do svojej doručenej pošty.
Zdroj: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
