Le PDG de Binance, Changpeng Zhao (CZ), a averti ses 8 millions d'abonnés sur Twitter le 28 décembre qu'il était "à peu près sûr" que des fuites de clés API se produisaient sur la plate-forme d'administration de commerce de crypto-monnaie.
Je suis à peu près certain qu'il y a des fuites de clés API généralisées de 3Commas. Si au cas où vous auriez déjà entré une clé API dans 3Commas (à partir de tout changement), veuillez la désactiver instantanément.
XNUMX éléments à #Last à.
- CZ Binance (@cz_binance) 28 décembre 2022
La divulgation de CZ a suivi un incident le 9 décembre lorsque Binance a supprimé le compte d'un client qui s'était plaint d'avoir perdu des fonds un jour plus tôt. Ce consommateur a affirmé qu'une clé API divulguée liée à 3Commas avait été utilisée "pour effectuer des transactions sur des liquidités à faible capitalisation afin de pimenter la valeur pour générer des revenus". Binance a refusé de rembourser le consommateur. CZ a tweeté que la perte est indétectable, et si l'entreprise récupère ces pertes, "nous ne paierons que pour les clients qui abandonnent leurs clés API".
Mamba, il n'y a pratiquement aucun moyen pour nous de nous assurer que les clients n'ont pas volé leurs propres clés API. Les transactions ont été effectuées à l'aide des clés API que vous avez créées. Dans tous les autres cas, nous ne payons que les clients qui abandonnent leurs clés API. J'espère que vous percevez.
- CZ Binance (@cz_binance) 9 décembre 2022
Le 11 décembre, le PDG de 3Commas, Yuriy Sorokin, a affirmé sur le blog de l'entreprise que de fausses captures d'écran circulaient sur Twitter et YouTube pour indiquer que l'entreprise avait des mesures de sécurité laxistes et que le personnel avait volé des clés API. Sorokin a nié les allégations dans une évaluation technique approfondie des contrefaçons :
"Celui qui a pris les captures d'écran a fait un très bon travail en utilisant un éditeur HTML, mais il a fait quelques erreurs importantes qui montrent simplement que leurs affirmations sont fausses. Nous les subirons niveau par niveau."
Les points de sécurité sont apparus pour la première fois chez 3Commas fin octobre. Encore une fois, le changement FTX toujours en fonction a émis une alerte de sécurité en réponse aux expériences des consommateurs d'achat et de vente de paires non autorisées utilisant la pièce DMG sur FTX. 3Commas et FTX ont découvert que des pirates avaient créé des comptes 3Commas pour effectuer les transactions. Néanmoins, selon le blog de 3Commas, "les clés API n'ont pas été héritées de 3Commas mais de l'extérieur de la plate-forme 3Commas".
En relation : Comment Binance protège ses clients avec un programme d'achat et de vente responsable
Dans un plus tard entrée de blogSorokin a reconnu que "nous avons maintenant des preuves claires que le phishing a contribué, au moins partiellement, aux pertes des consommateurs".
Entre-temps, un utilisateur de Twitter a affirmé que chacune des clés API de 3Commas avait été divulguée.
EPI
La fuite de l'API 3Commas a été lancée au cas où vous n'auriez pas déjà SUPPRIMÉ VOTRE CLÉ API pic.twitter.com/yEvrxyWBIq
- db (@tier10k) 28 décembre 2022
Maintenant, Sorokin a confirmé la fuite, y compris qu'aucune preuve n'a été découverte que la fuite était un travail interne.
1. Assertion de 3 virgules :
Nous avons remarqué le message du pirate et pouvons vérifier que les informations contenues dans les données d'enregistrement sont vraies. Nous avons immédiatement demandé à Binance, Kucoin et aux autres échanges pris en charge de révoquer toutes les clés liées à 3Commas.
– Youri Sorokine (@YS_3Commas) 28 décembre 2022
