Сумна вядомы дэтэктыў Web3 Twitter ZachXBT паведамляецца 20 снежня сорак чатыры карыстальнікі 3Commas страцілі 14.8 мільёна долараў з-за крадзяжу. ZachXBT сцвярджаў, што карыстальнікі падаюць калектыўны пазоў супраць 3Commas.
Кампанія 3Commas выпусціла заяву, у якой сцвярджае, што зняпраўджвае ўсе заявы. Кампанія сцвярджала, што абвінавачванні былі «фальшывымі» і «беспадстаўнымі». Акрамя таго, платформа для гандлю крыптамі сцвярджала, што ў іх ёсць канкрэтныя доказы таго, што фішынг адыграў ролю ў некаторых інцыдэнтах.
карыстальнікаў сцвярджаў, Кампанія 3Commas прасачыла свае ключы API, што прывяло да несанкцыянаваных таргоў. Абвінавачванні былі накіраваны непасрэдна супраць супрацоўнікаў 3Commas, а не супраць нейкай гнюснай трэцяй асобы.
«Супрацоўнікі 3commas крадуць ключы API. Я прымацаваў скрыншоты з Cloudflare, якія паказваюць прыборную панэль 3commas і тое, як ключы API там адкрыты».
Акрамя таго, фірма пацверджаны што не было парушэння механізмаў шыфравання бяспекі або баз дадзеных. Калі б адбылося парушэнне, усе ключы API і звязаныя ўліковыя запісы былі б узламаныя, паведамляе 3Commas.
Аднак нядаўнія справаздачы ад Zach_XBT, здаецца, распавядаюць іншую гісторыю, бо ён сцвярджае, што карыстальнікі скардзіліся на некалькі біржаў.
Асобы пацярпелых карыстальнікаў не былі апублікаваныя, і на сённяшні дзень яны не з'яўляліся публічна. Улічваючы вялікую колькасць фінансавых махлярстваў і спроб фішынгу вакол крыптапрадуктаў, некаторыя, у тым ліку адзін супрацоўнік ВайнерМедыя, сцвярджаў, што
«У нас было 50+ уладальнікаў BAYC або проста людзей з NFT у цэлым, REKT з дапамогай фішынгавага махлярства і іншых хітрасцей. У гэта няцяжка паверыць. Не абараняю 3Commas тут, ніколі не выкарыстоўваў іх, але я не думаю, што 44 мае на ўвазе што-небудзь канкрэтнае пра 3Commas».
Нягледзячы на гэта, за апошнія месяцы павялічваецца колькасць паведамленняў, звязаных з уцечкай ключоў API з 3Commas. Застаецца незразумелым, ці з'яўляюцца карыстальнікі ўсё часцей мішэнню складаных фішынгавых махлярстваў або супрацоўнікі крадуць дадзеныя.
Ранейшыя справаздачы аб Хакі 3Commas паказала, што ключы API выкарыстоўваліся для прамывання здзелак на гандлёвых парах з нізкай ліквіднасцю, каб зламыснікі адмывалі сродкі. Такія таргі не былі зарэгістраваныя ў апошнім раўндзе эксплойтаў на дадзены момант.
Аднак факт застаецца фактам: карыстальнікі страцілі значную суму грошай праз інтэграцыю 3Commas з біржамі. Такім чынам, верагодна, спатрэбіцца далейшае расследаванне і ўзмацненне бяспекі.
Крыніца: https://cryptoslate.com/3commas-denies-accusations-of-leaking-api-data-resulting-in-14-8m-in-unauthorized-trades/