Binancen toimitusjohtaja Changpeng Zhao (CZ) varoitti 8 miljoonaa Twitter-seuraajaansa 28. joulukuuta, että hän oli "melko varma" API-avainvuotojen tapahtuneen kryptovaluuttakaupan hallintaalustalla.
Olen melko varma, että 3Commasista on laajalle levinnyt API-avainvuotoja. Jos olet joskus syöttänyt API-avaimen 3Commas-kohtaan (mikä tahansa muutoksesta), poista se käytöstä välittömästi.
Pitää #LINJA.
- CZ Binance (@cz_binance) Joulukuu 28, 2022
CZ:n ilmoitus sisälsi tapauksen 9. joulukuuta, kun Binance poisti kuluttajan tilin, joka oli valittanut varojen pudotuksesta päivää aiemmin. Tämä kuluttaja väitti, että vuotanutta API-avainta, joka oli sidottu 3Commasiin, käytettiin "kauppojen tekemiseen pieniarvoisella käteisellä arvon lisäämiseksi tulojen saamiseksi". Binance kieltäytyi palauttamasta kuluttajalle rahaa. CZ twiittasi, että menetystä ei voida havaita, ja jos yritys saa takaisin tällaiset tappiot, "maksamme vain asiakkaista, jotka pudottavat API-avaimensa".
Mamba, meillä ei ole käytännössä mitään tapaa varmistaa, etteivät asiakkaat ole varastaneet omia API-avaimiaan. Kaupat on tehty käyttämällä luomiasi API-avaimia. Muissa tapauksissa maksamme vain asiakkaista, jotka pudottavat API-avaimensa. Toivottavasti tajuat.
- CZ Binance (@cz_binance) Joulukuu 9, 2022
Joulukuun 11. päivänä 3Commasin toimitusjohtaja Juri Sorokin väitti yrityksen blogissa, että Twitterissä ja YouTubessa on kiertänyt väärennettyjä kuvakaappauksia, jotka osoittavat, että yhtiöllä oli löyhät turvatoimenpiteet ja että henkilökunta on varastanut API-avaimia. Sorokin kiisti syytökset väärennösten perusteellisessa teknisessä arvioinnissa:
"Kuvakaappausten ottaja teki erittäin hyvää työtä käyttämällä HTML-editoria, mutta hän teki pari olennaista virhettä, jotka yksinkertaisesti osoittavat, että heidän väitteensä ovat vääriä. Käymme nämä läpi tasoittain."
Turvapisteet ilmestyivät ensimmäisen kerran 3Commasissa lokakuun lopulla. Sitten edelleen toimiva FTX-muutos antoi turvallisuusvaroituksen vastauksena kuluttajien kokemuksiin luvattomista osto- ja myyntipareista käyttämällä DMG-kolikkoa FTX:ssä. 3Commas ja FTX havaitsivat, että hakkerit olivat luoneet 3Commas-tilit kauppaa varten. Siitä huolimatta 3Commas-verkkoblogin mukaisesti "API-avaimia ei peritty 3Commasista, mutta ulkopuolelta 3Commas-alustalta".
Associated: Kuinka Binance suojelee asiakkaitaan vastuullisella osto- ja myyntiohjelmalla
Myöhemmässä vaiheessa blogin merkintäSorokin myönsi, että "meillä on nyt selvät todisteet siitä, että tietojenkalastelu vaikutti ainakin osittain kuluttajien menetyksiin."
Tällä välin Twitter-kuluttaja on väittänyt, että jokainen 3Commasin API-avaimista on vuotanut.
PPE
3Commas API-vuoto on käynnistetty, jos et ole jo POISTAnut API-AVAINTIASI pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) Joulukuu 28, 2022
Nyt Sorokin on vahvistanut vuodon, mukaan lukien sen, ettei ole löydetty todisteita siitä, että vuoto olisi ollut sisäinen työ.
1. 3 Pilkun väite:
Huomasimme hakkerin viestin ja saatamme varmistaa, että tietuetietojen tiedot ovat totta. Välittömänä aloitteena pyysimme, että Binance, Kucoin ja erilaiset tuetut vaihdot peruuttavat kaikki 3Commasiin liittyvät avaimet.
- Juri Sorokin (@YS_3Commas) Joulukuu 28, 2022
