Το 3Commas παραδέχεται ότι ήταν πηγή διαρροής API που οδήγησε σε hacks

Μια ομάδα εμπόρων την περασμένη εβδομάδα είπε ότι Είχαν κλαπεί κρυπτονομίσματα αξίας 22 εκατομμυρίων δολαρίων μέσω παραβιασμένων κλειδιών API από την πλατφόρμα συναλλαγών 3Commas. Την Τετάρτη, το 3Commas παραδέχτηκε ότι ήταν η πηγή αυτής της διαρροής API.

Η ανακοίνωση ήρθε αφού ένας ανώνυμος χρήστης του Twitter απέκτησε περίπου 100,000 κλειδιά API που ανήκουν σε χρήστες του 3Commas και τα δημοσίευσε στο διαδίκτυο. 

Το 3Commas είχε αρχικά επιμείνει ότι δεν υπήρχε θέμα ασφαλείας στο τέλος του, και ο συνιδρυτής Yuriy Sorokin πρότεινε επανειλημμένα στο Twitter ότι μια επίθεση phishing έκανε τους χρήστες να εγκαταλείψουν τα δεδομένα τους. 

Αλλά την Τετάρτη, ο Sorokin έγραψε στο Twitter: «Είδαμε το μήνυμα του χάκερ και μπορούμε να επιβεβαιώσουμε ότι τα δεδομένα στα αρχεία είναι αληθινά… Λυπούμαστε που αυτό έχει φτάσει τόσο μακριά και θα συνεχίσουμε να είμαστε διαφανείς στις επικοινωνίες μας γύρω από την κατάσταση».

Το 3Commas είναι μια πλατφόρμα που επιτρέπει στους χρήστες να συνδέουν πολλούς λογαριασμούς ανταλλαγής κρυπτογράφησης —όπως αυτοί που διατηρούνται στο Binance— με λογισμικό αυτοματοποιημένων συναλλαγών. Όλα αυτά γίνονται μέσω των API (διεπαφές προγραμματισμού εφαρμογών), των τυποποιημένων μηχανισμών που επιτρέπουν σε ξεχωριστά στοιχεία λογισμικού να επικοινωνούν μεταξύ τους και να εκτελούν εργασίες. Η ιδέα είναι ότι οι άνθρωποι δεν χρειάζεται να κάνουν τη σκληρή δουλειά να σκεφτούν τις συναλλαγές τους. Αντίθετα, όλα γίνονται άμεσα και αυτόματα μέσω κώδικα. 

Μέχρι να αποκτήσουν πρόσβαση στα API τα λάθος άτομα.

Μπλοκ αλυσίδων μπλοκ @ZachXBT ανέφερε προηγουμένως στο Twitter ότι είχε επαληθεύσει μια ομάδα 44 θυμάτων που έχασαν συνολικά 14.8 εκατομμύρια δολάρια μέσω κλειδιών API που είχαν κλαπεί από το 3Commas.

Σε απάντηση, ο Sorokin έγραψε στο Twitter ότι «Αν είσαι θύμα, τότε σημαίνει ότι με κάποιο τρόπο διέρρευσαν τα κλειδιά σου», αλλά «όχι από 3Commas». Αν τα κλειδιά API που διέρρευσαν ήταν από το 3Commas, «θα βλέπατε εκατομμύρια περιπτώσεις, όχι εκατό», σκέφτηκε.

Σε ξεχωριστό νήμα, κατέρριψε την «ανικανότητα από μεγάλες πηγές μέσων ενημέρωσης» και αμφισβήτησε την εγκυρότητα ενός υπολογιστικού φύλλου από πληθώρα παραβιασμένων λογαριασμών. «Δώστε προσοχή ότι η πλειονότητα των χρηστών που ανέφεραν απώλειες δεν άνοιξαν καν ένα δελτίο υποστήριξης με το ανταλλακτήριο και δεν πήγαν στην αστυνομία», έγραψε ο Sorokin στο Twitter. «Πώς επαληθεύτηκαν αυτές οι πληροφορίες;»

Και πάλι αυτός ισχυρίστηκε ότι υπήρξαν πολύ λίγα περιστατικά για να ήταν εκμετάλλευση 3 Commas. «Υπάρχουν πάνω από 1 [εκατομμύριο] κλειδιά συνδεδεμένα με 3Commas, με ~100 χρήστες να αναφέρουν προβλήματα με τους λογαριασμούς τους», έγραψε ο Sorokin στο Twitter.. "Γιατί θα συνέβαινε αυτό αν διέρρευσε η [βάση δεδομένων];"

Σήμερα, ένας δικαιωμένος ZachXBT έγραψε στο Twitter ότι «εδώ και εβδομάδες [3Commas] κατηγορούν τους χρήστες του και αποδέχονται μηδενική ευθύνη». 

«Συνέχισε να λες ψέματα και να λες ότι αυτό ήταν δικό μας λάθος αντί να αναλάβουμε την ευθύνη και αποτρέψατε περαιτέρω κατορθώματα», πρόσθεσε @CoinMamba, ένας άλλος χρήστης 3Commas που είπε ότι έχασε χρήματα. "Πρόκειται να επιστρέψετε χρήματα στους χρήστες τώρα;"

Δεν είναι η πρώτη φορά που το 3Commas και ο χειρισμός του API τέθηκαν υπό έλεγχο. Περίπου ένα μήνα πριν η FTX κηρύξει πτώχευση, ο Sam Bankman-Fried συμφώνησε να επιστρέψει 6 εκατομμύρια δολάρια σε πελάτες που επηρεάστηκαν από αυτό που περιγράφεται ως phishing απάτη που περιλαμβάνει 3 κόμματα.

Την Τετάρτη, ο Διευθύνων Σύμβουλος της Binance, Changpeng Zhao, ανάρτησε στο Twitter ότι ήταν «εύλογα σίγουρος» ότι υπήρχαν «εκτεταμένες διαρροές κλειδιών API» από το 3Commas. 

Ο CZ πρόσθεσε ότι οι χρήστες θα πρέπει να απενεργοποιήσουν τα κλειδιά API τους σε 3Commas. Αυτό συνιστά τώρα και το 3Commas.

«Ως άμεση ενέργεια, ζητήσαμε από το Binance, το Kucoin και άλλες υποστηριζόμενες ανταλλαγές να ανακαλέσουν όλα τα κλειδιά που ήταν συνδεδεμένα με 3Commas», έγραψε ο Sorokin στο Twitter.

Το 3Commas δεν έχει απαντήσει σε αίτημα για περαιτέρω σχόλια από Αποκρυπτογράφηση.