Det sagde en gruppe handlende i sidste uge 22 millioner dollars i krypto var blevet stjålet gennem kompromitterede API-nøgler fra handelsplatformen 3Commas. Onsdag indrømmede 3Commas, at det var kilden til det API-læk.
Meddelelsen kom efter, at en anonym Twitter-bruger har fået omkring 100,000 API-nøgler tilhørende 3Commas-brugere og offentliggjort dem online.
3Commas havde oprindeligt insisteret på, at der ikke var noget sikkerhedsproblem på dens ende, og medstifter Yuriy Sorokin foreslog gentagne gange på Twitter, at et phishing-angreb fik brugerne til at opgive deres data.
Men onsdag tweetede Sorokin: "Vi så hackerens besked og kan bekræfte, at dataene i filerne er sande... Vi er kede af, at dette er nået så langt og vil fortsætte med at være gennemsigtigt i vores kommunikation omkring situationen."
3Commas er en platform, der lader brugere linke flere kryptoudvekslingskonti – såsom dem der holdes på Binance – til automatiseret handelssoftware. Det hele gøres via API'er (applikationsprogrammeringsgrænseflader), de standardiserede mekanismer, der gør det muligt for separate softwarekomponenter at kommunikere med hinanden og udføre opgaver. Tanken er, at mennesker ikke behøver at gøre det hårde arbejde med at tænke på deres fag. I stedet foregår det hele øjeblikkeligt og automatisk via kode.
Indtil de forkerte personer får adgang til API'erne.
Blockchain spejder @ZachXBT tidligere sagt på Twitter, at han havde verificeret en gruppe på 44 ofre, der mistede i alt 14.8 millioner dollars gennem API-nøgler stjålet fra 3Commas.
Som svar tweetede Sorokin, at "Hvis du er et offer, betyder det, at dine nøgler på en eller anden måde blev lækket", men "ikke fra 3Commas." Hvis de lækkede API-nøgler havde været fra 3Commas, "ville du have set millioner af tilfælde, ikke hundrede," ræsonnerede han.
I en separat tråd, sprængte han "inkompetence fra store mediekilder" og satte spørgsmålstegn ved gyldigheden af et crowdsourcet regneark med kompromitterede konti. "Vær opmærksom på, at størstedelen af de brugere, der rapporterede tab, ikke engang åbnede en supportbillet med børsen og ikke gik til politiet," tweetede Sorokin. "Hvordan blev disse oplysninger verificeret?"
Igen han hævdede at der var for få hændelser til, at det kunne have været en 3Commas udnyttelse. "Der er over 1 [million] nøgler forbundet til 3Commas, med ~100 brugere, der rapporterer problemer med deres konti," tweetede Sorokin. "Hvorfor ville det ske, hvis [database] blev lækket?"
I dag tweetede en bekræftet ZachXBT, at "i uger har [3Commas] bebrejdet sine brugere og påtaget sig nul ansvar."
"Du blev ved med at lyve og sige, at dette var vores skyld i stedet for at tage ansvar og forhindre yderligere udnyttelser," tilføjede @CoinMamba, en anden 3Commas-bruger, der sagde, at han mistede penge. "Vil du refundere brugerne nu?"
Det er ikke første gang, 3Commas og dets API-håndtering kommer under lup. Cirka en måned før FTX indgav konkursbegæring, indvilligede Sam Bankman-Fried i at refundere 6 millioner dollars til kunder, der var berørt af, hvad der blev beskrevet som en phishing-svindel involverer 3 kommaer.
Onsdag tweetede Binance CEO Changpeng Zhao, at han var "rimelig sikker på", at der var "udbredt API-nøglelæk" fra 3Commas.
CZ tilføjede, at brugere skulle deaktivere deres API-nøgler i 3Commas. Det er, hvad 3Commas nu også anbefaler.
"Som en øjeblikkelig handling har vi bedt Binance, Kucoin og andre understøttede børser tilbagekalde alle de nøgler, der var forbundet til 3Commas," tweetede Sorokin.
3Commas har ikke reageret på en anmodning om yderligere kommentarer fra Dekryptér.
Hold dig opdateret med kryptonyheder, få daglige opdateringer i din indbakke.
Kilde: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
