Binance CEO Changpeng Zhao (CZ) advarede den 8. december sine 28 millioner Twitter-følgere om, at han var "temmelig sikker på", at API-nøglelækager har fundet sted på cryptocurrency-handelsadministrationsplatformen.
Jeg er ret sikker på, at der er udbredt API-nøglelæk fra 3Commas. Hvis du nogensinde har indtastet en API-nøgle i 3Commas (fra enhver ændring), skal du deaktivere den med det samme.
Holde #LINE.
- CZ Binance (@cz_binance) 28. December, 2022
CZ's afsløring vedtog en hændelse den 9. december, hvor Binance slettede kontoen for en forbruger, der havde klaget over at miste penge en dag tidligere. Denne forbruger hævdede, at en lækket API-nøgle, der var knyttet til 3Commas, blev brugt "til at foretage handler med lavkapitalkontanter for at krydre værdien for at tjene penge." Binance afviste at refundere forbrugeren. CZ tweetede, at tabet ikke kan spores, og hvis virksomheden genvinder sådanne tab, "betaler vi udelukkende for kunder, der taber deres API-nøgler."
Mamba, der er praktisk talt ingen metode for os til at sikre, at kunderne ikke har stjålet deres helt egne API-nøgler. Handlerne er foretaget ved hjælp af de API-nøgler, du har oprettet. I alle andre tilfælde betaler vi udelukkende for kunder, der taber deres API-nøgler. Jeg håber du opfatter.
- CZ Binance (@cz_binance) 9. December, 2022
Den 11. december hævdede 3Commas CEO Yuriy Sorokin på virksomhedens weblog, at falske skærmbilleder har cirkuleret på Twitter og YouTube for at indikere, at virksomheden havde lempelige sikkerhedsforanstaltninger, og at personalet har stjålet API-nøgler. Sorokin benægtede anklagerne i en dybdegående teknisk evaluering af forfalskninger:
"Den, der tog skærmbillederne, gjorde et meget godt stykke arbejde ved at bruge en HTML-editor, men de lavede et par væsentlige fejl, der blot viser, at deres påstande er falske. Vi gennemgår disse niveau for niveau."
Sikkerhedspunkter dukkede først op ved 3Commas i slutningen af oktober. Igen udsendte den stadig fungerende FTX-ændring en sikkerhedsadvarsel som reaktion på forbrugeroplevelser med uautoriseret køb og salg af par, der brugte DMG-mønten på FTX. 3Commas og FTX opdagede, at hackere havde oprettet 3Commas-konti for at udføre handlerne. Ikke desto mindre, i overensstemmelse med 3Commas-webloggen, "blev API-nøglerne ikke arvet fra 3Commas, men fra udendørs 3Commas-platformen".
Associeret: Hvordan Binance beskytter sine kunder med et ansvarligt købs- og salgsprogram
I en senere blogindlægSorokin erkendte, at "vi nu har klare beviser for, at phishing ikke mindre end delvist bidrog til forbrugernes tab."
I mellemtiden har en Twitter-forbruger hævdet, at hver eneste af 3Commas' API-nøgler er blevet lækket.
PPE
3Commas API-læk er blevet lanceret, hvis du ikke allerede har FJERNET DIN API NØGLE pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) 28. December, 2022
Nu har Sorokin bekræftet lækagen, herunder at der ikke er blevet opdaget beviser for, at lækagen var et internt job.
1. Påstand om 3 kommaer:
Vi har bemærket hackerens besked og kan muligvis bekræfte, at oplysningerne i journaldataene er sande. Som et øjeblikkeligt forslag anmodede vi om, at Binance, Kucoin og forskellige understøttede børser tilbagekalder alle nøgler relateret til 3Commas.
— Yuriy Sorokin (@YS_3Commas) 28. December, 2022
