Hindi kinumpirma ng CEO ng kumpanya kung gagawa siya o hindi ng refund sa mga apektadong biktima ngunit sinabi nito bilang isang agarang pagkilos, hiniling ng platform ang lahat ng mga palitan ng kasosyo na huwag paganahin ang kanilang mga API key na nagli-link sa mga system nito.
Sa nakalipas na ilang linggo, tinatawagan ng crypto Twitter ang 3Commas, isang automated trading platform na may kinalaman sa pagtagas ng Application Programming Interface (API) nito na naging sanhi ng pagkawala ng mga pondo para sa mga user. Pagkatapos ng maraming pagtanggi at paglilipat ng sisihan, ang Chief Executive Officer ng platform, si Yuriy Sorokin lumabas para umamin ang pagtagas ay mula sa platform.
Bilang isang protocol, tinutulungan ng 3Commas ang mga user na kumonekta sa mga palitan ng third-party tulad ng Binance, KuCoin, at mga katulad nito kung saan magagamit ang mga highly functional na code upang maglagay ng mga trade sa isang automated na paraan. Ang mga koneksyon sa mga sentralisadong palitan na ito ay sa pamamagitan ng mga API nito kung saan nakompromiso ang daan-daang susi ng mga user.
Sikat na on-chain na Sleuth, sinabi ni ZachXBT na na-verify niya ang hanggang 44 na user ng 3Commas na nawalan ng pinagsama-samang $14.8 milyon sa pamamagitan ng mga API key na ninakaw mula sa platform. Noong unang gumawa ng mga pag-ikot ang ulat, nangatuwiran si Sorokin na ang anumang anyo ng pagtagas ay nangangahulugan na ang mga user mismo ay nagbigay ng kanilang mga API key sa pamamagitan ng naka-target na pag-atake sa phishing.
Ito ay hindi tungkol sa terminolohiya, ito ay tungkol sa bubong ng problema. Alin ang – Na-leak ang mga isyu sa mga API key sa pamamagitan ng mga palitan. Walang kinalaman sa 3Commas API, tuldok. Sinusubukan naming tumulong sa abot ng aming makakaya - itulak ang mga tao na magtrabaho kasama ang mga palitan at pagpapatupad ng batas.
— Yuriy Sorokin (@YS_3Commas) Disyembre 23, 2022
Isinasaalang-alang ang katotohanan na ang 3Commas ay ginagamit ng milyun-milyong mga mangangalakal, sinabi niya na ang isang hack sa database nito ay magsasangkot ng mas malaking bilang ng mga biktima kaysa sa iniulat sa Twitter.
"Kung ikaw ay isang biktima - nangangahulugan ito na kahit papaano ay na-leak ang iyong mga susi. Hindi mula sa 3Commas, kung hindi, milyon-milyong kaso ang nakita mo, hindi isang daan. mga extension ng browser, mga magnanakaw, at lahat ng uri ng malware ay nasa labas."
Sa isang dramatikong twist ng mga kaganapan, sa wakas ay inamin ni Sorokin na ang pagtagas ay nagmula sa platform nito at na ikinalulungkot niya kung paano nabuo ang mga bagay sa ngayon.
3Commas API Leak: Susunod na Kurso ng Pagkilos
Kasunod ng pag-amin sa tungkulin nito, si Sorokin at ang 3Commas team ay nakatanggap ng mas matinding backlash mula sa komunidad, lalo na sa katotohanan na ang trading outfit ay kilala sa kaugnay na pagsasamantala sa nakaraan.
Ang isang user ng Twitter, si CoinMamba na nagdodoble rin bilang isang customer ng 3Commas ay humingi ng refund para sa lahat ng apektadong biktima.
“Patuloy kang nagsisinungaling at sinasabing kasalanan namin ito sa halip na tanggapin ang responsibilidad at pigilan ang karagdagang pagsasamantala. Ire-refund mo ba ngayon ang mga gumagamit?" hiningi niya.
Hindi kinumpirma ni Sorokin kung gagawa siya o hindi ng refund sa mga apektadong biktima ngunit sinabi bilang isang agarang pagkilos, hiniling ng platform ang lahat ng mga palitan ng kasosyo na huwag paganahin ang kanilang mga API key na nagli-link sa mga system nito.
"Nakita namin ang mensahe ng hacker at makumpirma namin na ang data sa mga file ay totoo. Bilang isang agarang aksyon, hiniling namin na ang Binance, Kucoin, at iba pang suportadong palitan ay bawiin ang lahat ng mga susi na konektado sa 3Commas," tweet niya.
Sinabi niya sa mga pagsisiyasat nito, hindi natagpuan ang ebidensya na ang hack ay isang inside job at patuloy itong makikipag-ugnayan sa mga ahente ng pagpapatupad ng batas habang naglulunsad ito ng buong imbestigasyon sa insidente.
Hindi tulad ng kung paano niya hinawakan ang sitwasyon bago ang oras na ito, sinabi ni Sorokin na mas magiging bukas siya sa mga komunikasyon nito sa pasulong.
Si Benjamin Godfrey ay isang mahilig sa blockchain at mamamahayag na umiiwas sa pagsulat tungkol sa totoong aplikasyon ng buhay ng teknolohiya ng blockchain at mga makabagong ideya upang himukin ang pangkalahatang pagtanggap at pagsasama-sama sa buong mundo ng umuusbong na teknolohiya. Ang kanyang pagnanais na turuan ang mga tao tungkol sa mga cryptocurrencies ay nagbibigay inspirasyon sa kanyang mga kontribusyon sa kilalang blockchain na batay sa media at mga site. Si Benjamin Godfrey ay isang mahilig sa sports at agrikultura.
Pinagmulan: https://www.coinspeaker.com/3commas-api-keys-leak-fault/