Prejšnji teden je to dejala skupina trgovcev Ukradenih je bilo kripto v vrednosti 22 milijonov dolarjev preko ogroženih API ključev iz trgovalne platforme 3Commas. V sredo je 3Commas priznal, da je bil vir tega uhajanja API-ja.
Objava je prišla po tem, ko je anonimni uporabnik Twitterja pridobil približno 100,000 ključev API, ki pripadajo uporabnikom 3Commas, in jih objavil na spletu.
3Commas je sprva vztrajal, da na njegovem koncu ni varnostnih težav, in soustanovitelj Yuriy Sorokin sta na Twitterju večkrat namigovala, da je napad lažnega predstavljanja povzročil, da so uporabniki predali svoje podatke.
Toda v sredo je Sorokin tvitnil: "Videli smo sporočilo hekerja in lahko potrdimo, da so podatki v datotekah resnični ... Žal nam je, da je to prišlo tako daleč, in bomo še naprej transparentni v naših komunikacijah glede situacije."
3Commas je platforma, ki uporabnikom omogoča povezovanje več računov kripto menjalnic – na primer tistih, ki se vodijo na Binance – s programsko opremo za avtomatizirano trgovanje. Vse to poteka prek API-jev (aplikacijskih programskih vmesnikov), standardiziranih mehanizmov, ki omogočajo ločenim komponentam programske opreme medsebojno komunikacijo in izvajanje nalog. Ideja je, da ljudem ni treba delati težkega dela razmišljanja o svojih poslih. Namesto tega se vse naredi takoj in samodejno prek kode.
Dokler napačni ljudje ne dobijo dostopa do API-jev.
Blockchain detektiv @ZachXBT je pred tem na Twitterju dejal, da je preveril skupino 44 žrtev, ki so izgubile skupno 14.8 milijona dolarjev prek ključev API, ukradenih iz 3Commasa.
V odgovor je Sorokin tvitnil, da "če ste žrtev, potem to pomeni, da so vaši ključi nekako ušli", vendar "ne iz 3Commas." Če bi bili razkriti ključi API-ja iz 3Commas, bi "videli milijone primerov, ne sto," je razmišljal.
V ločena nit, je okrcal "nesposobnost velikih medijskih virov" in podvomil v veljavnost množične preglednice ogroženih računov. "Bodite pozorni, da večina uporabnikov, ki so poročali o izgubah, sploh ni odprla vstopnice za podporo pri menjavi in ni šla na policijo," je tvitnil Sorokin. "Kako so bile te informacije preverjene?"
Spet on trdil da je bilo premalo incidentov, da bi šlo za izkoriščanje 3Commas. "S 1Commas je povezanih več kot 3 [milijon] ključev, s ~ 100 uporabniki poročajo o težavah s svojimi računi," je tvitnil Sorokin.. "Zakaj bi se to zgodilo, če bi [podatkovna zbirka] pricurljala?"
Danes je upravičeni ZachXBT tvitnil, da "več tednov [3Commas] krivi svoje uporabnike in ne prevzema nobene odgovornosti."
"Vedno ste lagali in govorili, da je to naša krivda, namesto da bi prevzeli odgovornost in preprečili nadaljnje izkoriščanje," je dodal @CoinMamba, še en uporabnik 3Commas, ki je dejal, da je izgubil sredstva. "Ali boste uporabnikom zdaj vrnili denar?"
To ni prvič, da sta bila 3Commas in njegovo ravnanje z API-jem pod drobnogledom. Približno mesec dni preden je FTX vložil zahtevo za stečaj, je Sam Bankman-Fried pristal na vračilo 6 milijonov dolarjev strankam, ki jih je prizadel dogodek, opisan kot phishing prevara ki vključuje 3Commas.
V sredo je izvršni direktor Binance Changpeng Zhao tvitnil, da je "razumno prepričan", da je prišlo do "razširjenega uhajanja ključev API" iz 3Commas.
CZ je dodal, da bi morali uporabniki onemogočiti svoje API ključe v 3Commas. To zdaj priporoča tudi 3Commas.
"Kot takojšnji ukrep smo zahtevali, da Binance, Kucoin in druge podprte borze prekličejo vse ključe, ki so bili povezani s 3Commas," je tvitnil Sorokin.
3Commas se ni odzval na prošnjo za nadaljnji komentar Dešifriraj.
Bodite na tekočem s kripto novicami, prejemajte dnevne posodobitve v svoj nabiralnik.
Vir: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
