Това каза група търговци миналата седмица Бяха откраднати крипто на стойност 22 милиона долара чрез компрометирани API ключове от платформата за търговия 3Commas. В сряда 3Commas призна, че е източникът на това изтичане на API.
Съобщението дойде, след като анонимен потребител на Twitter получи около 100,000 3 API ключа, принадлежащи на потребители на XNUMXCommas, и го публикува онлайн.
Първоначално 3Commas настояваше, че няма проблем със сигурността от своя страна, и съоснователят Юрий Сорокин многократно предполагаха в Twitter, че фишинг атака е накарала потребителите да се откажат от данните си.
Но в сряда Сорокин туитна: „Видяхме съобщението на хакера и можем да потвърдим, че данните във файловете са верни… Съжаляваме, че това стигна толкова далеч и ще продължим да бъдем прозрачни в нашите комуникации относно ситуацията.“
3Commas е платформа, която позволява на потребителите да свържат множество сметки за крипто борса – като тези, които се съхраняват в Binance – със софтуер за автоматизирана търговия. Всичко това се прави чрез API (интерфейси за програмиране на приложения), стандартизираните механизми, които позволяват на отделни софтуерни компоненти да комуникират помежду си и да изпълняват задачи. Идеята е, че хората не трябва да вършат тежката работа да мислят за своите сделки. Вместо това всичко става незабавно и автоматично чрез код.
Докато грешните хора не получат достъп до API.
Блокчейн детектив @ZachXBT по-рано каза в Twitter, че е проверил група от 44 жертви, които са загубили общо $14.8 милиона чрез API ключове, откраднати от 3Commas.
В отговор Сорокин туитна, че „Ако сте жертва, това означава, че по някакъв начин ключовете ви са изтекли“, но „не от 3Commas“. Ако изтеклите API ключове бяха от 3Commas, „щяхте да видите милиони случаи, а не сто“, разсъждава той.
В отделна нишка, той разкритикува „некомпетентността от големи медийни източници“ и постави под въпрос валидността на електронна таблица с компрометирани акаунти, събрана от краудсорсинг. „Обърнете внимание, че по-голямата част от потребителите, съобщаващи за загуби, дори не са отворили билет за поддръжка с борсата и не са отишли в полицията“, туитира Сорокин. „Как беше потвърдена тази информация?“
Отново той твърди, че е имало твърде малко инциденти, за да е експлойт на 3Commas. „Има над 1 [милион] ключове, свързани с 3Commas, като около 100 потребители съобщават за проблеми с акаунтите си“, туитира Сорокин. „Защо би се случило това, ако [база данни] е изтекла?“
Днес оправдан ZachXBT туитна, че „от седмици [3Commas] обвиняват своите потребители и не поемат никаква отговорност.“
„Вие продължихте да лъжете и казвахте, че това е наша вина, вместо да поемете отговорност и да предотвратите по-нататъшни експлойти“, добави @CoinMamba, друг потребител на 3Commas, който каза, че е загубил средства. „Ще възстановите ли парите на потребителите сега?“
Това не е първият път, когато 3Commas и неговото API управление са подложени на проверка. Около месец преди FTX да обяви фалит, Сам Банкман-Фрид се съгласи да възстанови 6 милиона долара на клиенти, засегнати от това, което беше описано като фишинг измама с участието на 3Commas.
В сряда главният изпълнителен директор на Binance Changpeng Zhao написа в Туитър, че е „сравнително сигурен“, че има „широко разпространени течове на API ключове“ от 3Commas.
CZ добави, че потребителите трябва да деактивират своите API ключове в 3Commas. Това е, което 3Commas също препоръчва.
„Като незабавно действие поискахме Binance, Kucoin и други поддържани борси да отменят всички ключове, които са били свързани с 3Commas“, туитна Сорокин.
3Commas не е отговорил на искане за допълнителен коментар от Разкодирай.
Бъдете в крак с крипто новините, получавайте ежедневни актуализации във входящата си поща.
Източник: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
