Der CEO von Binance, Changpeng Zhao (CZ), warnte seine 8 Millionen Twitter-Follower am 28. Dezember, dass er „ziemlich sicher“ sei, dass es auf der Verwaltungsplattform für den Handel mit Kryptowährungen zu API-Schlüssellecks gekommen sei.
Ich bin mir ziemlich sicher, dass es weit verbreitete API-Schlüssellecks von 3Commas gibt. Falls Sie jemals einen API-Schlüssel in 3Commas eingegeben haben (aufgrund einer Änderung), deaktivieren Sie ihn bitte sofort.
Behalten #Last zu.
- CZ-Refinanzierung (@cz_binance) 28. Dezember 2022
Die Offenlegung von CZ stützte sich auf einen Vorfall vom 9. Dezember, als Binance das Konto eines Verbrauchers löschte, der sich einen Tag zuvor über das Ablegen von Geldern beschwert hatte. Dieser Verbraucher behauptete, ein durchgesickerter API-Schlüssel, der an 3Commas gebunden sei, sei verwendet worden, „um mit Low-Cap-Bargeld zu handeln, um den Wert aufzupeppen, um Einkommen zu erzielen“. Binance lehnte es ab, den Verbraucher zurückzuerstatten. CZ twitterte, dass der Verlust nicht nachweisbar ist, und wenn das Unternehmen solche Verluste wiedergutmacht, „zahlen wir nur für Kunden, die ihre API-Schlüssel fallen lassen“.
Mamba, es gibt praktisch keine Methode, um sicherzustellen, dass Kunden nicht ihre eigenen API-Schlüssel gestohlen haben. Die Trades wurden unter Verwendung der von Ihnen erstellten API-Schlüssel durchgeführt. In allen anderen Fällen zahlen wir nur für Kunden, die ihre API-Schlüssel löschen. Ich hoffe du verstehst.
- CZ-Refinanzierung (@cz_binance) 9. Dezember 2022
Am 11. Dezember behauptete Yuriy Sorokin, CEO von 3Commas, im Weblog des Unternehmens, dass gefälschte Screenshots auf Twitter und YouTube im Umlauf waren, die darauf hindeuten, dass das Unternehmen laxe Sicherheitsvorkehrungen getroffen habe und dass Mitarbeiter API-Schlüssel gestohlen hätten. Sorokin bestritt die Vorwürfe in einer eingehenden technischen Bewertung der Fälschungen:
„Derjenige, der die Screenshots gemacht hat, hat mit einem HTML-Editor sehr gute Arbeit geleistet, aber er hat ein paar wesentliche Fehler gemacht, die einfach zeigen, dass seine Behauptungen falsch sind. Wir werden diese Level für Level durchlaufen.“
Sicherheitspunkte tauchten erstmals Ende Oktober bei 3Commas auf. Auch damals gab die noch funktionierende FTX-Änderung eine Sicherheitswarnung als Reaktion auf Verbrauchererfahrungen mit nicht autorisiertem Kauf und Verkauf von Paaren unter Verwendung der DMG-Münze auf FTX heraus. 3Commas und FTX entdeckten, dass Hacker 3Commas-Konten erstellt hatten, um die Trades durchzuführen. Laut dem 3Commas-Weblog wurden jedoch "die API-Schlüssel nicht von 3Commas, sondern von außerhalb der 3Commas-Plattform geerbt".
Verbunden: Wie Binance seine Kunden mit einem rechenschaftspflichtigen Kauf- und Verkaufsprogramm schützt
In einem späteren Blog-EintragSorokin räumte ein, dass „wir jetzt einen klaren Beweis dafür haben, dass Phishing nicht weniger als teilweise zu Verbraucherverlusten beigetragen hat“.
In der Zwischenzeit hat ein Twitter-Nutzer behauptet, dass alle API-Schlüssel von 3Commas geleakt wurden.
PSA
Ein 3Commas-API-Leck wurde gestartet, falls Sie IHREN API-SCHLÜSSEL noch nicht ENTFERNT haben pic.twitter.com/yEvrxyWBIq
—db (@tier10k) 28. Dezember 2022
Jetzt hat Sorokin das Leck bestätigt, einschließlich der Tatsache, dass kein Beweis dafür gefunden wurde, dass das Leck ein Insider-Job war.
1. Behauptung von 3Commas:
Wir haben die Nachricht des Hackers bemerkt und könnten überprüfen, ob die Informationen in den Datensatzdaten wahr sind. Als sofortigen Antrag haben wir Binance, Kucoin und verschiedene unterstützte Börsen aufgefordert, alle Schlüssel im Zusammenhang mit 3Commas zu widerrufen.
— Yuriy Sorokin (@YS_3Commas) 28. Dezember 2022
