Пра гэта заявіла група трэйдараў на мінулым тыдні Было выкрадзена крыпта на 22 мільёны долараў праз скампраметаваныя ключы API ад гандлёвай платформы 3Commas. У сераду 3Commas прызнаў, што гэта была крыніца гэтай уцечкі API.
Аб'ява прагучала пасля таго, як ананімны карыстальнік Twitter атрымаў каля 100,000 3 ключоў API, якія належаць карыстальнікам XNUMXCommas, і апублікаваў гэта ў Інтэрнэце.
Першапачаткова 3Commas настойваў на адсутнасці праблем з бяспекай, і сузаснавальнік Юрый Сарокін неаднаразова выказваў у Twitter меркаванне, што фішынгавая атака прымусіла карыстальнікаў адмовіцца ад сваіх дадзеных.
Але ў сераду Сарокін напісаў у твітэры: «Мы бачылі паведамленне хакера і можам пацвердзіць, што дадзеныя ў файлах праўдзівыя... Нам шкада, што гэта зайшло так далёка, і мы будзем працягваць празрыстасць у нашых паведамленнях аб гэтай сітуацыі».
3Commas - гэта платформа, якая дазваляе карыстальнікам звязваць некалькі ўліковых запісаў крыптабіржы, напрыклад, у Binance, з праграмным забеспячэннем для аўтаматызаванага гандлю. Усё гэта робіцца праз API (інтэрфейсы прыкладнога праграмавання), стандартызаваныя механізмы, якія дазваляюць асобным праграмным кампанентам мець зносіны адзін з адным і выконваць задачы. Ідэя заключаецца ў тым, што людзям не трэба рабіць цяжкую працу, задумваючыся аб сваёй прафесіі. Замест гэтага ўсё робіцца імгненна і аўтаматычна з дапамогай кода.
Пакуль не тыя людзі атрымаюць доступ да API.
Вышук блокчейна @ZachXBT раней паведамляў у Twitter, што ён праверыў групу з 44 ахвяр, якія страцілі ў агульнай складанасці 14.8 мільёна долараў праз ключы API, скрадзеныя ў 3Commas.
У адказ Сарокін напісаў у твітары, што «калі вы ахвяра, значыць, нейкім чынам адбылася ўцечка вашых ключоў», але «не з 3Commas». Калі б уцечка ключоў API была ад 3Commas, «вы б бачылі мільёны выпадкаў, а не сотню», разважаў ён.
ў асобны паток, ён абвінаваціў «некампетэнтнасць буйных медыя-крыніц» і паставіў пад сумнеў сапраўднасць электроннай табліцы ўзламаных уліковых запісаў, атрыманай у краўдсорсінгу. «Звярніце ўвагу, што большасць карыстальнікаў, якія паведамляюць пра страты, нават не адчынялі зварот у службу падтрымкі з абменнікам і не звярталіся ў паліцыю», — напісаў Сарокін у твітары. «Як была праверана гэтая інфармацыя?»
Зноў ён сцвярджаў што было занадта мала інцыдэнтаў, каб гэта было эксплойтам 3Commas. «Да 1Commas падключана больш за 3 [мільён] ключоў, прычым ~100 карыстальнікаў паведамляюць аб праблемах са сваімі ўліковымі запісамі», — напісаў Сарокін у твітары.. «Чаму гэта адбылося, калі [база даных] была ўцечка?»
Сёння апраўданы ZachXBT напісаў у твітэры, што «на працягу некалькіх тыдняў [3Commas] вінавацілі сваіх карыстальнікаў і не прымалі на сябе нулявую адказнасць».
«Вы працягвалі хлусіць і казаць, што гэта наша віна, замест таго, каб узяць на сябе адказнасць і прадухіліць далейшыя подзвігі», - дадаў @CoinMamba, іншы карыстальнік 3Commas, які сказаў, што страціў сродкі. «Ці збіраецеся вы зараз вярнуць грошы карыстальнікам?»
Гэта не першы раз, калі 3Commas і яго апрацоўка API трапляюць пад пільную ўвагу. Прыблізна за месяц да таго, як FTX аб'явіла аб банкруцтве, Сэм Бэнкман-Фрыд пагадзіўся вярнуць 6 мільёнаў долараў кліентам, якія пацярпелі ад таго, што было апісана як ашуканскім з удзелам 3Commas.
У сераду генеральны дырэктар Binance Чанпэн Чжао напісаў у твітэры, што ён «дастаткова ўпэўнены» ў наяўнасці «шырокай уцечкі ключоў API» з 3Commas.
CZ дадаў, што карыстальнікі павінны адключыць свае ключы API ў 3Commas. Гэта тое, што цяпер рэкамендуе 3Commas.
«У якасці неадкладнага дзеяння мы папрасілі Binance, Kucoin і іншыя падтрымоўваныя біржы адклікаць усе ключы, якія былі падлучаныя да 3Commas», — напісаў Сарокін у твітэры.
3Commas не адказаў на запыт аб дадатковых каментарах ад расшыфроўваць.
Будзьце ў курсе крыпта-навін, атрымлівайце штодзённыя абнаўленні ў паштовай скрыні.
Крыніца: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
