3Commas CEO tager endelig API Key Leak-ansvar

Binance CEO Changpeng 'CZ' Zhao udtalte, at han var ret sikker på, at 3Commas, en platform til styring af kryptovalutahandler, har et udbredt API-nøglelæk.

Den 29. december rådede CZ brugere på Twitter til at deaktivere enhver API-udvekslingsnøgle, som de nogensinde indtastede på 3Commas-platformen. Derudover svarede han en bruger ved at sige, at selvom Binance forsøger at deaktivere det på tværs af webstedet, så er opgaven 'vanskelig'.

Udtalelsen fra CZ følger en hændelse den 9. december, hvor Binance lukkede konti for nogle brugere, som klagede over, at deres penge var blevet drænet.

Tidligere en bruger hævdede at 3Commas-platformen havde afsløret API-nøglen. Det blev tilsyneladende brugt til at handle low-cap kryptoaktiver for at drive priser og profit.

Som svar nægtede Binance at refundere brugerne. CZ hævdede, at det aldrig kunne fastslås, at brugerne ikke stjal deres egne API-nøgler. Han sagde: "Handelserne blev udført ved hjælp af API-nøgler, du oprettede. Ellers betaler vi bare for, at brugere mister deres API-nøgler. Håber du forstår."

Benægter sikkerhedsproblemer

Den 11. december udtalte 3Commas administrerende direktør Yuriy Sorokin, at falske skærmbilleder, der skildrer dets slappe sikkerhed havde cirkuleret på Twitter og YouTube. Derudover afviste han påstande om, at 3Commas-medarbejdere havde stjålet API-nøgler.

Han argumenterede: "Personen, der lavede skærmbillederne, gjorde et godt stykke arbejde med en HTML-editor, men de lavede et par vigtige fejl, der nemt beviser, at deres påstande er falske. Vi vil gennemgå dem punkt for punkt."

I slutningen af ​​oktober begyndte 3Commas først at opleve sikkerhedsproblemer. Som svar på påstande fra brugere om uautoriseret handel på FTX på det tidspunkt, børsen også udstedt en sikkerhedsadvarsel.

FTX og 3Commas fastsatte det som et potentielt phishing-forsøg, hvor hackere oprettede 3Commas-konti for at foretage handler. Ifølge 3Commas blev API-nøglerne ikke taget fra deres proprietære platform, men fra replikerede websteder.

Sorokin erkendte senere, at beviser viste, at phishing i det mindste var en medvirkende faktor i API-tyveriet. 

Krypto-fællesskabet på Twitter hævdede dog, at 3Commas API-nøgler var blevet kompromitteret på grund af et sikkerhedsbrud.

3Commas indrømmer endelig at have oplevet datalæk

I en nylig udvikling tog CEO Yuriy Sorokin til Twitter for for første gang at erkende, at der var et datalæk i hans virksomhed. Sorokin forklarede, at de havde verificeret, at oplysningerne i filerne var korrekte efter at have set hackerens besked. Desuden bekræftede direktionen, at 3Commas nu har krævet øjeblikkelig tilbagekaldelse af alle nøglerne fra Binance, Kucoin, og alle understøttede udvekslinger.

Platformchefen var også enig i, at et internt job altid er muligt, men fandt ingen beviser for dette i efterforskningen.

Nu hævdede han, at platformen lancerede en fuld undersøgelse, der involverede retshåndhævelse. I mellemtiden, 3Commas' Twitter-konto fordringer at ingen nøgle lavet efter 16. november er i fare.

Platformen udtalte også: "Vi opfordrer alle brugere til at genudstede deres nøgler på børserne. Igen forpligter vi os til at sige, at ingen nøgler efter den 16. november er i fare. Hvis du ikke opdaterer dem, vil de blive tilbagekaldt af børser for at sikre din kontosikkerhed."

Anslået tab over $10 millioner

Den 23. december hævdede en gruppe handlende, at en API-nøgle fra 3Commas-platformen var blevet kompromitteret, hvilket muliggjorde tyveri af mere end 22 millioner dollars i kryptovaluta.

3Commas kom først rent, efter at Twitter-krypto-fællesskabet fik og offentligt udsendte omkring 100,000 af sine brugeres API-nøgler.