En grupp handlare sa det förra veckan krypto för 22 miljoner dollar hade stulits genom komprometterade API-nycklar från handelsplattformen 3Commas. På onsdagen erkände 3Commas att det var källan till API-läckan.
Tillkännagivandet kom efter att en anonym Twitter-användare skaffat omkring 100,000 3 API-nycklar som tillhör XNUMXCommas-användare och publicerat dem online.
3Commas hade initialt insisterat på att det inte fanns något säkerhetsproblem, och medgrundaren Yuriy Sorokin föreslog upprepade gånger på Twitter att en nätfiskeattack fick användare att ge upp sin data.
Men på onsdagen twittrade Sorokin: "Vi såg hackarens meddelande och kan bekräfta att uppgifterna i filerna är sanna... Vi beklagar att detta har kommit så långt och kommer att fortsätta att vara transparenta i vår kommunikation kring situationen."
3Commas är en plattform som låter användare länka flera kryptoväxlingskonton – som de som finns på Binance – till automatiserad handelsmjukvara. Allt detta görs via API:er (applikationsprogrammeringsgränssnitt), de standardiserade mekanismerna som gör att separata programvarukomponenter kan kommunicera med varandra och utföra uppgifter. Tanken är att människor inte behöver göra det hårda arbetet med att tänka på sina yrken. Istället görs allt omedelbart och automatiskt via kod.
Tills fel personer får tillgång till API:erna.
Blockchain spets @ZachXBT tidigare sagt på Twitter att han hade verifierat en grupp av 44 offer som förlorade totalt 14.8 miljoner dollar genom API-nycklar stulna från 3Commas.
Som svar twittrade Sorokin att "Om du är ett offer betyder det att dina nycklar på något sätt läckte", men "inte från 3Commas." Om de läckta API-nycklarna hade varit från 3Commas, "du skulle ha sett miljontals fall, inte hundra", resonerade han.
I en separat tråd, sprängde han "inkompetens från stora mediekällor" och ifrågasatte giltigheten av ett crowdsourcad kalkylblad med komprometterade konton. "Var uppmärksam på att majoriteten av användarna som rapporterade förluster inte ens öppnade en supportbiljett med börsen och inte gick till polisen," twittrade Sorokin. "Hur verifierades denna information?"
Återigen han hävdade att det var för få incidenter för att det skulle ha varit en 3Commas-missbruk. "Det finns över 1 [miljon] nycklar kopplade till 3Commas, med ~100 användare som rapporterar problem med sina konton," twittrade Sorokin. "Varför skulle det hända om [databas] läcktes?"
Idag twittrade en bekräftad ZachXBT att "i veckor [3Commas] har skyllt på sina användare och tagit noll ansvar."
"Du fortsatte att ljuga och säga att det här var vårt fel istället för att ta ansvar och förhindra ytterligare utnyttjande," tillägger @CoinMamba, en annan 3Commas-användare som sa att han förlorat pengar. "Ska du återbetala användarna nu?"
Det är inte första gången 3Commas och dess API-hantering undersöks. Ungefär en månad innan FTX ansökte om konkurs gick Sam Bankman-Fried med på att återbetala 6 miljoner dollar till kunder som drabbats av vad som beskrevs som en nätfiskebedrägeri involverar 3Commas.
På onsdagen twittrade Binances vd Changpeng Zhao att han var "rimligt säker på" att det fanns "utbredda API-nyckelläckor" från 3Commas.
CZ lade till att användare borde inaktivera sina API-nycklar i 3Commas. Detta är vad 3Commas nu också rekommenderar.
"Som en omedelbar åtgärd har vi bett att Binance, Kucoin och andra stödda börser återkallar alla nycklar som var kopplade till 3Commas", twittrade Sorokin.
3Commas har inte svarat på en begäran om ytterligare kommentarer från Avkryptera.
Håll dig uppdaterad om kryptonyheter, få dagliga uppdateringar i din inkorg.
Källa: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
