3Κόμματα, α πάροχος σημάτων συναλλαγών κρυπτογράφησης, επιβεβαίωσε τελικά μια πρόσφατη επίθεση που είδε χιλιάδες κλειδιά API χρηστών να παραβιάζονται.
Ο ιδρυτής και διευθύνων σύμβουλος της πλατφόρμας, Yuri Sorokin, αναγνώρισε αυτό το γεγονός την Τετάρτη, αφού προέκυψε ότι ένας ανώνυμος χρήστης είχε λάβει μια λίστα με κλειδιά API που συνδέονται με χρήστες 3Commas.
Ψάχνετε για γρήγορες ειδήσεις, καυτές συμβουλές και ανάλυση αγοράς;
Εγγραφείτε στο ενημερωτικό δελτίο του Invezz, σήμερα.
Η παραδοχή του Sorokin για επίθεση και πιθανή έκθεση δεκάδων χιλιάδων χρηστών αποκλίνει από τον ισχυρισμό της εταιρείας του τις τελευταίες εβδομάδες ότι η διαρροή API προήλθε από επιθέσεις phishing που επηρέασαν έναν αριθμό μεμονωμένων χρηστών.
Το 3Commas αναγνωρίζει τη διαρροή κλειδιών API
Ο Sorokin είπε σε μια δήλωση που ανέβασε στο Twitter την Τετάρτη ότι η εταιρεία του εξέτασε την ανώνυμα κοινόχρηστη βάση δεδομένων κλειδιών API και βρήκε ότι είναι αληθή. Σύμφωνα με τον CEO της 3Commas, η πλατφόρμα ζήτησε αμέσως υποστήριξη κρυπτογραφικές ανταλλαγές, συμπεριλαμβανομένων των Binance και KuCoin, για ανάκληση όλων των κλειδιών API που είναι συνδεδεμένα με το bot συναλλαγών.
Το 3Commas φέρεται επίσης να μην βρήκε ότι η διαρροή ήταν εσωτερική δουλειά, παρόλο που υποσχόταν διαφάνεια στο μέλλον.
On-chain sleuth ZachXBT, ο οποίος είπε είχε επαληθεύσει την αυθεντικότητα ορισμένων από τα κλειδιά αφού συμβουλεύτηκε την ομάδα χρηστών 3Commas, Σημειώνεται:
«Το 3Commas τελικά αναγνώρισε τη διαρροή, αλλά η ζημιά είχε ήδη γίνει. Για εβδομάδες κατηγορούν τους χρήστες του και αποδέχονται μηδενική ευθύνη».
Πριν ο Sorokin μπει στο Twitter για να επιβεβαιώσει ότι η διαρροή ανάγεται στην εταιρεία του, ο Διευθύνων Σύμβουλος της Binance Changpeng Zhao είχε προειδοποιήσει τους χρήστες που έχουν τοποθετήσει ποτέ τα κλειδιά API τους σε 3Commas να τα απενεργοποιήσουν αμέσως. Ο Zhao σημείωσε ότι πίστευε ότι υπήρχε μια εκτεταμένη διαρροή κλειδιού API από την πλατφόρμα κρυπτογράφησης.
Οι χρήστες του 3Commas ανέφεραν απώλειες 22 εκατομμυρίων δολαρίων που συνδέονται με τη διαρροή.
Πηγή: https://invezz.com/news/2022/12/29/3commas-admits-to-api-keys-leak-after-anon-reveals-database/