Ο διαβόητος web3 ντετέκτιβ του Twitter ZachXBT αναφερθεί στις 20 Δεκεμβρίου ότι σαράντα τέσσερις χρήστες 3Commas είχαν χάσει 14.8 εκατομμύρια δολάρια λόγω κλοπής. Το ZachXBT ισχυρίστηκε ότι οι χρήστες σχημάτιζαν ομαδική αγωγή εναντίον του 3Commas.
Η 3Commas δημοσίευσε μια δήλωση που ισχυρίζεται ότι διαψεύδει όλους τους ισχυρισμούς. Η εταιρεία υποστήριξε ότι οι κατηγορίες ήταν «ψεύτικες» και «αβάσιμες». Περαιτέρω, η πλατφόρμα συναλλαγών κρυπτονομισμάτων υποστήριξε ότι έχει συγκεκριμένα στοιχεία ότι το phishing έπαιξε ρόλο σε ορισμένα περιστατικά.
Χρήστες ισχυρίστηκε 3Commas διέρρευσαν τα κλειδιά API τους, με αποτέλεσμα μη εξουσιοδοτημένες συναλλαγές. Οι κατηγορίες στόχευαν απευθείας στους υπαλλήλους της 3Commas και όχι σε κάποιο κακόβουλο τρίτο μέρος.
"Οι υπάλληλοι με 3 κόμματα κλέβουν τα κλειδιά API Επισύναψα τα στιγμιότυπα οθόνης από το Cloudflare που δείχνει τον πίνακα εργαλείων με 3 κόμματα και πώς εκτίθενται εκεί τα κλειδιά API."
Επιπλέον, η εταιρεία επιβεβαίωσε ότι δεν υπήρξε παραβίαση των μηχανισμών κρυπτογράφησης ασφαλείας ή των βάσεων δεδομένων. Εάν είχε συμβεί παραβίαση, όλα τα κλειδιά API και οι συνδεδεμένοι λογαριασμοί θα είχαν παραβιαστεί, σύμφωνα με το 3Commas.
Ωστόσο, οι πρόσφατες αναφορές από τον Zach_XBT φαινομενικά λένε μια διαφορετική ιστορία, καθώς ισχυρίζεται ότι οι χρήστες έχουν παραπονεθεί σε πολλαπλές ανταλλαγές.
Οι ταυτότητες των χρηστών που επηρεάστηκαν δεν έχουν γίνει γνωστές, ούτε έχουν εμφανιστεί εμφανώς δημόσια μέχρι σήμερα. Δεδομένης της παραγωγικής φύσης των οικονομικών απατών και των προσπαθειών phishing γύρω από προϊόντα κρυπτογράφησης, ορισμένα, όπως ένας υπάλληλος της VaynerMedia, υποστήριξε ότι
«Είχαμε 50+ κατόχους BAYC ή απλώς άτομα NFT γενικά, REKT από απάτες ηλεκτρονικού ψαρέματος και άλλα κόλπα. Αυτό δεν είναι δύσκολο να το πιστέψει κανείς. Το να μην υπερασπίζομαι τα 3Commas εδώ, δεν τα χρησιμοποίησα ποτέ, αλλά δεν νομίζω ότι το 44 υπονοεί κάτι συγκεκριμένο σχετικά με τα 3Commas."
Ανεξάρτητα από αυτό, έχει υπάρξει αυξανόμενος αριθμός αναφορών που σχετίζονται με διαρροή κλειδιών API από το 3Commas τους τελευταίους μήνες. Παραμένει ασαφές εάν οι χρήστες στοχοποιούνται όλο και περισσότερο με εξελιγμένες απάτες ηλεκτρονικού "ψαρέματος" ή οι εργαζόμενοι κλέβουν δεδομένα.
Προηγούμενες αναφορές για 3 hacks με κόμματα αποκάλυψε ότι τα κλειδιά API χρησιμοποιούνταν για πλύσιμο συναλλαγών σε ζεύγη συναλλαγών με χαμηλή ρευστότητα, προκειμένου οι κακοί παράγοντες να ξεπλένουν κεφάλαια. Τέτοιες συναλλαγές δεν έχουν αναφερθεί σε αυτόν τον πιο πρόσφατο γύρο exploit αυτή τη στιγμή.
Ωστόσο, το γεγονός παραμένει ότι οι χρήστες έχουν χάσει ένα σημαντικό χρηματικό ποσό μέσω της ενσωμάτωσης 3Commas με ανταλλαγές. Ως εκ τούτου, απαιτείται περαιτέρω έρευνα και αύξηση της ασφάλειας.
Πηγή: https://cryptoslate.com/3commas-denies-accusations-of-leaking-api-data-resulting-in-14-8m-in-unauthorized-trades/