I et stykke tid nu har 3Commas-brugere skrevet på sociale medier om et muligt brud, der førte til, at deres API-nøgler blev lækket. Dette resulterede i uautoriserede og usædvanlige handelsmønstre på brugernes børskonti, i de fleste tilfælde i et forsøg på at pumpe og dumpe mønter. 3Commas havde indtil videre afvist alle de rygter, der sagde, at der ikke var noget brud, men med uigendrivelige beviser, der nu stirrer dem i øjnene, har kryptohandelsplatformen taget ansvaret for første gang.
Hvordan det startede
Populær on-chain sleuth ZachXBT tog til sin Twitter-konto for at dele nogle fordømmende beviser som var blevet delt med ham. I skærmbillederne, der blev delt med hans mere end 340,000 følgere, hævdede nogen at have haft adgang til mere end 100,000 API-nøgler lækket fra 3Commas, som han til sidst delte med Zach.
Zach forklarede, at han var gået videre med at verificere rigtigheden af disse påstande ved at kontrollere API-nøglerne, og flere personer i en gruppe, der var oprettet til dem, der fik lækket deres 3Commas API-nøgler. bekræftet at deres nøgler faktisk var i databasen, der var blevet delt med Zach.
I et opfølgende tweet postede Zach et brev, som afsenderen kaldte en "sen julegave", hvori de hævder, at der ikke var et brud. Snarere var oplysningerne blevet solgt til dem af personalet på 3Commas-teamet.
En mere alarmerende afsløring var det faktum, at denne person eller gruppe af mennesker hævder at have endnu flere API-nøgler. Tilsyneladende planlægger de at offentliggøre den komplette database med over 100,000 API-nøgler. Heldigvis planlægger de at fjerne enhver personlig eller identificerende information fra databasen i et forsøg på at beskytte folk.
2/ Jeg vil ikke sprede db'en, da nogle af nøglerne potentielt stadig er aktive, men her er hvad kontoen havde at sige om lækagen i et indlæg:
Desværre ser det ud til, at de snart vil udgive den fulde database over 3Commas-brugere. pic.twitter.com/XSf6GslXZ8
— ZachXBT (@zachxbt) 28. December, 2022
3Commas erkender endelig lækagen
I lyset af eksponeringen fra ZachXBT-tråden har 3Commas-teamet taget ansvaret for datalækket for første gang. Grundlægger og administrerende direktør Yuriy Sorokin tog til Twitter for at anerkende ægtheden af påstandene. Den administrerende direktør forklarede, at de havde undersøgt et internt job, men ikke var i stand til at fastslå, at lækagen var fra en medarbejder.
1. Udtalelse fra 3Commas:
Vi så hackerens besked og kan bekræfte, at dataene i filerne er sande. Som en øjeblikkelig handling har vi bedt Binance, Kucoin og andre understøttede børser tilbagekalde alle de nøgler, der var forbundet til 3Commas.
— Yuriy Sorokin (@YS_3Commas) 28. December, 2022
Interessant nok, Sorokin forklarer at det lille antal tekniske medarbejdere, der havde adgang til dataene, var blevet frataget deres adgang den 19. november, hvilket betyder, at de havde kendt til lækagen i mindst en måned. Men 3Commas var fortsat med at lette på brugerne, beskyldte dem for at falde for phishing-svindel og bad dem gå til børser, når problemet hele tiden var kommet fra dem.
Totas markedsværdi er fortsat under 1 billion USD | Kilde: Crypto Total Market Cap på TradingView.com
"3Commas erkendte endelig lækagen, men skaden var allerede sket. I ugevis har de bebrejdet dets brugere og påtaget sig intet ansvar,” sagde ZachXBT. Sørg for aldrig at give inkompetente klovne som @3commas_io din virksomhed nogensinde igen."
Kunder og børser er blevet rådet til at tilbagekalde alle API-nøgler forbundet til 3Commas-platformen. Med hensyn til 3Commas sagde Sorokin: "Vi har implementeret nye sikkerhedsforanstaltninger og vil ikke stoppe der; vi igangsætter en fuld undersøgelse, der involverer retshåndhævelse."
Udvalgt billede fra Discover Magazine, diagram fra TradingView.com
Kilde: https://bitcoinist.com/3commas-leak-exposes-over-100000-apis-ceo-confirms/