El CEO de Binance, Changpeng Zhao (CZ), advirtió a sus 8 millones de seguidores en Twitter el 28 de diciembre que estaba "bastante seguro" de que se habían producido filtraciones de claves API en la plataforma de administración de comercio de criptomonedas.
Estoy bastante seguro de que hay filtraciones generalizadas de claves API de 3Commas. Si alguna vez ingresó una clave API en 3Commas (de cualquier cambio), desactívela al instante.
Guardar #Last a.
- CZ Binance (@cz_binance) 28 de diciembre de 2022
La divulgación de CZ siguió un incidente el 9 de diciembre cuando Binance eliminó la cuenta de un consumidor que se había quejado de perder fondos el día anterior. Este consumidor afirmó que se usó una clave API filtrada vinculada a 3Commas "para realizar intercambios en efectivo de baja capitalización para aumentar el valor y generar ingresos". Binance se negó a reembolsar al consumidor. CZ tuiteó que la pérdida es indetectable, y si la empresa recupera tales pérdidas, "solo pagaremos por los clientes que dejan caer sus claves API".
Mamba, prácticamente no hay forma de asegurarnos de que los clientes no hayan robado sus propias claves API. Las transacciones se realizaron utilizando las claves API que creó. En cualquier otro caso, solo pagamos por los clientes que dejan caer sus claves API. Espero que lo percibas.
- CZ Binance (@cz_binance) 9 de diciembre de 2022
El 11 de diciembre, el director ejecutivo de 3Commas, Yuriy Sorokin, afirmó en el blog de la empresa que en Twitter y YouTube circulaban capturas de pantalla falsas para indicar que la empresa tenía medidas de seguridad poco estrictas y que el personal robaba claves API. Sorokin negó las acusaciones en una evaluación técnica en profundidad de las falsificaciones:
"El que tomó las capturas de pantalla hizo un muy buen trabajo usando un editor de HTML, pero cometió algunos errores importantes que simplemente muestran que sus afirmaciones son falsas. Los revisaremos nivel por nivel".
Los puntos de seguridad surgieron por primera vez en 3Commas a fines de octubre. Una vez más, el cambio FTX que aún funciona emitió una alerta de seguridad en respuesta a las experiencias de los consumidores de pares de compra y venta no autorizados que utilizan la moneda DMG en FTX. 3Commas y FTX descubrieron que los piratas informáticos habían creado cuentas de 3Commas para realizar las transacciones. Sin embargo, según el blog de 3Commas, "las claves API no se heredaron de 3Commas sino de fuera de la plataforma 3Commas".
Relacionado: Cómo Binance protege a sus clientes con un programa de compra y venta responsable
En una tarde Entrada de blogSorokin reconoció que "ahora tenemos pruebas claras de que el phishing contribuyó, no menos que parcialmente, a las pérdidas de los consumidores".
Mientras tanto, un usuario de Twitter ha afirmado que se han filtrado todas las claves API de 3Commas.
PPE
Se ha lanzado una fuga de API de 3Commas en caso de que aún no haya ELIMINADO SU CLAVE DE API pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) 28 de diciembre de 2022
Ahora Sorokin ha confirmado la filtración, incluso que no se han descubierto pruebas de que la fuga haya sido un trabajo interno.
1. Afirmación de 3Commas:
Nos dimos cuenta del mensaje del pirata informático y es posible que verifiquemos que la información dentro de los datos de registros sea verdadera. Como moción de inmediato, solicitamos que Binance, Kucoin y otros intercambios admitidos revoquen todas las claves relacionadas con 3Commas.
—Yuriy Sorokin (@YS_3Commas) 28 de diciembre de 2022