Isang grupo ng mga mangangalakal noong nakaraang linggo ang nagsabi niyan Ang $22 milyon na halaga ng crypto ay ninakaw sa pamamagitan ng mga nakompromisong API key mula sa trading platform na 3Commas. Noong Miyerkules, inamin ng 3Commas na ito ang pinagmulan ng pagtagas ng API na iyon.
Ang anunsyo ay dumating pagkatapos na makuha ng isang hindi kilalang gumagamit ng Twitter ang humigit-kumulang 100,000 API key na pagmamay-ari ng mga user ng 3Commas at na-publish ito online.
Ang 3Commas ay una nang iginiit na walang isyu sa seguridad sa pagtatapos nito, at ang co-founder na si Yuriy Sorokin ay paulit-ulit na nagmungkahi sa Twitter na ang isang phishing na pag-atake ay nagdulot ng mga user na isuko ang kanilang data.
Ngunit noong Miyerkules, nag-tweet si Sorokin: "Nakita namin ang mensahe ng hacker at makumpirma namin na ang data sa mga file ay totoo... Ikinalulungkot namin na ito ay umabot sa ngayon at patuloy na magiging transparent sa aming mga komunikasyon sa paligid ng sitwasyon."
Ang 3Commas ay isang platform na nagbibigay-daan sa mga user na mag-link ng maraming crypto exchange account—gaya ng mga nakatago sa Binance—sa automated trading software. Ginagawa ang lahat sa pamamagitan ng mga API (application programming interface), ang mga standardized na mekanismo na nagbibigay-daan sa magkahiwalay na mga bahagi ng software na makipag-usap sa isa't isa at magsagawa ng mga gawain. Ang ideya ay ang mga tao ay hindi kailangang gawin ang mahirap na trabaho ng pag-iisip tungkol sa kanilang mga trade. Sa halip, ang lahat ay ginagawa kaagad at awtomatiko sa pamamagitan ng code.
Hanggang sa magkaroon ng access ang mga maling tao sa mga API.
Blockchain sleuth @ZachXBT dati nang sinabi sa Twitter na na-verify niya ang isang grupo ng 44 na biktima na nawalan ng kabuuang $14.8 milyon sa pamamagitan ng mga API key na ninakaw mula sa 3Commas.
Bilang tugon, nag-tweet si Sorokin na "Kung ikaw ay isang biktima, nangangahulugan ito na kahit papaano ay na-leak ang iyong mga susi," ngunit "hindi mula sa 3Commas." Kung ang mga leaked na API key ay mula sa 3Commas, "makakita ka sana ng milyun-milyong kaso, hindi isang daan," katwiran niya.
Sa isang hiwalay na thread, binatikos niya ang "kawalan ng kakayahan mula sa malalaking media source" at kinuwestiyon ang validity ng isang crowdsourced spreadsheet ng mga nakompromisong account. "Bigyang-pansin na ang karamihan sa mga gumagamit na nag-uulat ng mga pagkalugi ay hindi man lang nagbukas ng tiket ng suporta sa palitan, at hindi pumunta sa pulisya," tweet ni Sorokin. “Paano na-verify ang impormasyong ito?”
Muli siya iginiit na napakakaunting mga insidente para ito ay naging isang pagsasamantala ng 3Commas. "Mayroong mahigit 1 [milyong] key na konektado sa 3Commas, na may ~100 user na nag-uulat ng mga isyu sa kanilang mga account," tweet ni Sorokin. "Bakit mangyayari iyon kung ang [database] ay na-leak?"
Ngayon, nag-tweet ang isang pinagtibay na ZachXBT na "sa loob ng maraming linggo [3Commas] ay sinisisi ang mga gumagamit nito at tumatanggap ng walang responsibilidad."
"Patuloy kang nagsisinungaling at sinasabing kasalanan namin ito sa halip na tanggapin ang responsibilidad at pigilan ang karagdagang pagsasamantala," dagdag pa @CoinMamba, isa pang gumagamit ng 3Commas na nagsabing nawalan siya ng pondo. “Ire-refund mo ba ngayon ang mga gumagamit?”
Hindi ito ang unang pagkakataon na sinuri ang 3Commas at ang pangangasiwa nito sa API. Humigit-kumulang isang buwan bago naghain ang FTX para sa pagkabangkarote, sumang-ayon si Sam Bankman-Fried na i-refund ang $6 milyon sa mga customer na apektado ng inilarawan bilang isang phishing scam kinasasangkutan ng 3Commas.
Noong Miyerkules, nag-tweet ang Binance CEO na si Changpeng Zhao na siya ay "makatwirang sigurado" na mayroong "malawakang paglabas ng mga key ng API" mula sa 3Commas.
Idinagdag ni CZ na dapat i-disable ng mga user ang kanilang mga API key sa 3Commas. Ito rin ang inirerekomenda ngayon ng 3Commas.
"Bilang isang agarang aksyon, hiniling namin na ang Binance, Kucoin, at iba pang mga suportadong palitan ay bawiin ang lahat ng mga susi na konektado sa 3Commas," tweet ni Sorokin.
Ang 3Commas ay hindi tumugon sa isang kahilingan para sa karagdagang komento mula sa I-decrypt.
Manatili sa balita sa crypto, makakuha ng mga pang-araw-araw na update sa iyong inbox.
Pinagmulan: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
