Про це минулого тижня заявила група трейдерів Було вкрадено криптовалюти на 22 мільйони доларів через зламані ключі API від торгової платформи 3Commas. У середу 3Commas визнала, що це джерело витоку API.
Оголошення було зроблено після того, як анонімний користувач Twitter отримав близько 100,000 3 ключів API, що належать користувачам XNUMXCommas, і опублікував це в Інтернеті.
3Commas спочатку наполягав, що на його стороні немає проблем із безпекою, і співзасновник Юрій Сорокін неодноразово припускав у Twitter, що фішингова атака змусила користувачів відмовитися від своїх даних.
Але в середу Сорокін написав у Твіттері: «Ми бачили повідомлення хакера і можемо підтвердити, що дані у файлах правдиві… Нам шкода, що це зайшло так далеко, і ми продовжуватимемо бути прозорими у спілкуванні щодо цієї ситуації».
3Commas — це платформа, яка дозволяє користувачам пов’язувати кілька облікових записів криптовалютної біржі — наприклад, ті, що зберігаються на Binance — з програмним забезпеченням для автоматизованої торгівлі. Все це робиться за допомогою API (інтерфейсів прикладного програмування), стандартизованих механізмів, які дозволяють окремим програмним компонентам спілкуватися один з одним і виконувати завдання. Ідея полягає в тому, що людям не потрібно виконувати важку роботу, обдумуючи свої професії. Натомість усе це робиться миттєво й автоматично за допомогою коду.
Поки не ті люди отримають доступ до API.
Блокчейн-детектив @ZachXBT раніше повідомив у Twitter, що він перевірив групу з 44 жертв, які втратили загалом 14.8 мільйона доларів через ключі API, вкрадені з 3Commas.
У відповідь Сорокін написав у Твіттері, що «якщо ви стали жертвою, то це означає, що якимось чином стався витік ваших ключів», але «не з 3Commas». Якби витік ключів API був із 3Commas, «ви побачили б мільйони випадків, а не сотню», міркував він.
В окремий потік, він розкритикував «некомпетентність великих медіа-джерел» і поставив під сумнів дійсність краудсорсингової електронної таблиці скомпрометованих облікових записів. «Зверніть увагу, що більшість користувачів, які повідомляють про збитки, навіть не відкривали тікет підтримки з біржі і не зверталися в поліцію», — написав Сорокін у Twitter. «Як було перевірено цю інформацію?»
Знову він стверджував що було занадто мало інцидентів, щоб це було експлойтом 3Commas. «До 1Commas підключено понад 3 [мільйон] ключів, і ~100 користувачів повідомляють про проблеми зі своїми обліковими записами», — написав Сорокін у Twitter.. «Чому це сталося, якщо [база даних] злилася?»
Сьогодні підтверджений ZachXBT твітнув, що «тижнями [3Commas] звинувачували своїх користувачів і не несли нульової відповідальності».
«Ви продовжували брехати і казати, що це наша вина, замість того, щоб взяти на себе відповідальність і запобігти подальшим експлойтам», — додав @CoinMamba, інший користувач 3Commas, який сказав, що втратив кошти. «Чи збираєтеся ви повертати гроші користувачам зараз?»
Це не перший випадок, коли 3Commas і його API піддаються пильній перевірці. Приблизно за місяць до того, як FTX подала заяву про банкрутство, Сем Бенкман-Фрід погодився відшкодувати 6 мільйонів доларів клієнтам, які постраждали від того, що було описано як шахрайським за участю 3Commas.
У середу генеральний директор Binance Чанпен Чжао написав у Твіттері, що він «достатньо впевнений» у наявності «широко поширених витоків ключів API» з 3Commas.
CZ додав, що користувачі повинні вимкнути свої ключі API в 3Commas. Це те, що зараз також рекомендує 3Commas.
«Як негайну дію ми попросили Binance, Kucoin та інші підтримувані біржі анулювати всі ключі, які були підключені до 3Commas», — написав Сорокін у Twitter.
3Commas не відповів на запит щодо подальших коментарів від Розшифрувати.
Будьте в курсі криптовалютних новин, отримуйте щоденні оновлення на свою поштову скриньку.
Джерело: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
