Kereskedők egy csoportja a múlt héten ezt mondta 22 millió dollár értékű kriptot loptak el a 3Commas kereskedési platform kompromittált API-kulcsain keresztül. Szerdán a 3Commas elismerte, hogy ez volt az API-szivárgás forrása.
A bejelentés azután történt, hogy egy névtelen Twitter-felhasználó hozzávetőleg 100,000 3 API-kulcsot szerzett meg a XNUMXCommas felhasználóitól, és közzétette az interneten.
3Commas kezdetben ragaszkodott ahhoz, hogy a végén nincs biztonsági probléma, és a társalapító Jurij Sorokin többször is felvetette a Twitteren, hogy egy adathalász támadás miatt a felhasználók feladták adataikat.
Szerdán azonban Sorokin ezt írta a Twitteren: „Láttuk a hacker üzenetét, és megerősíthetjük, hogy a fájlokban lévő adatok igazak… Sajnáljuk, hogy ez idáig fajult, és továbbra is átláthatóak leszünk a helyzettel kapcsolatos kommunikációnkban.”
A 3Commas egy olyan platform, amely lehetővé teszi a felhasználók számára, hogy több kriptotőzsdei számlát – például a Binance-en vezetetteket – összekapcsoljanak automatizált kereskedési szoftverekkel. Mindez API-kon (alkalmazásprogramozási interfészek) keresztül történik, olyan szabványosított mechanizmusokon keresztül, amelyek lehetővé teszik az egyes szoftverkomponensek egymással való kommunikációját és feladatok végrehajtását. Az ötlet az, hogy az embereknek nem kell azt a kemény munkát végezniük, hogy a szakmájukon gondolkodjanak. Ehelyett mindez azonnal és automatikusan, kódon keresztül történik.
Egészen addig, amíg a rossz emberek nem férnek hozzá az API-khoz.
Blockchain rabló @ZachXBT korábban a Twitteren közölte, hogy igazolt egy 44 áldozatból álló csoportot, akik összesen 14.8 millió dollárt veszítettek a 3Commas-ból ellopott API-kulcsok révén.
Válaszul Sorokin azt írta a Twitteren, hogy „ha áldozat, akkor az azt jelenti, hogy valahogy kiszivárogtak a kulcsai”, de „nem a 3Commas-ból”. Ha a kiszivárgott API-kulcsok a 3Commas-tól származtak volna, „több millió esetet látott volna, nem százat” – indokolta.
egy külön szál, „nagy médiaforrásokból származó hozzá nem értést” robbantott ki, és megkérdőjelezte a feltört fiókokat tartalmazó, közösségi forrásból származó táblázat érvényességét. „Figyeljen arra, hogy a veszteséget bejelentő felhasználók többsége még támogatási jegyet sem nyitott a cserével, és nem fordult a rendőrséghez” – írta Sorokin a Twitteren. – Hogyan ellenőrizték ezt az információt?
Megint ő érvényesíteni hogy túl kevés volt az incidens ahhoz, hogy 3Commas kizsákmányolás legyen. „Több mint 1 millió kulcs kapcsolódik a 3Commashoz, és körülbelül 100 felhasználó jelentett problémákat a fiókjával” – írta Sorokin a Twitteren.. „Miért történne ez, ha az [adatbázis] kiszivárogna?”
Ma egy igazolt ZachXBT azt írta a Twitteren, hogy „a [3Commas] hetek óta hibáztatja a felhasználóit, és semmiféle felelősséget nem vállal”.
„Ön folyamatosan hazudott, és azt mondta, hogy ez a mi hibánk, ahelyett, hogy vállalta volna a felelősséget és megakadályozta volna a további visszaéléseket” – tette hozzá @CoinMamba, egy másik 3Commas felhasználó, aki azt mondta, hogy pénzt veszített. – Most visszafizeti az árát a felhasználóknak?
Nem ez az első alkalom, hogy a 3Commas és API-kezelése kerül górcső alá. Körülbelül egy hónappal azelőtt, hogy az FTX csődöt jelentett, Sam Bankman-Fried beleegyezett, hogy 6 millió dollárt visszafizet azoknak az ügyfeleknek, akiket az ún. adathalászat 3 vesszővel.
Szerdán a Binance vezérigazgatója, Changpeng Zhao a Twitteren üzente, hogy „megfelelően biztos abban”, hogy „széles körben elterjedt API-kulcs kiszivárog a 3Commas-ból”.
CZ hozzátette, hogy a felhasználóknak le kell tiltaniuk az API-kulcsokat a 3Commas-ban. Ezt ajánlja most a 3Commas is.
„Azonnali intézkedésként azt kértük, hogy a Binance, a Kucoin és más támogatott tőzsdék vonják vissza a 3Commashoz kapcsolt összes kulcsot” – írta Sorokin a Twitteren.
A 3Commas nem válaszolt további megjegyzéskérésre visszafejtése.
Maradjon naprakész a kriptográfiai hírekkel, és napi frissítéseket kaphat a postaládájában.
Forrás: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
