बिनेंस के सीईओ चांगपेंग झाओ (सीजेड) ने 8 दिसंबर को अपने 28 मिलियन ट्विटर फॉलोअर्स को चेतावनी दी थी कि उन्हें "काफी यकीन है" कि क्रिप्टोकरंसी कॉमर्स एडमिनिस्ट्रेशन प्लेटफॉर्म पर एपीआई कुंजी लीक हो रही है।
मुझे पूरा यकीन है कि 3Commas से व्यापक रूप से API कुंजी लीक हुई हैं। यदि आपने कभी 3Commas (किसी भी परिवर्तन से) में कोई API कुंजी दर्ज की है, तो कृपया इसे तुरंत निष्क्रिय कर दें।
रखना # ऑनलाइन.
- सीजेड बिनेंस (@cz_binance) दिसम्बर 28/2022
सीजेड के प्रकटीकरण ने 9 दिसंबर को एक घटना को अपनाया जब बिनेंस ने एक उपभोक्ता के खाते को हटा दिया जिसने एक दिन पहले धन छोड़ने की शिकायत की थी। इस उपभोक्ता ने दावा किया कि 3Commas से जुड़ी एक लीक एपीआई कुंजी का इस्तेमाल "आय बनाने के लिए मूल्य बढ़ाने के लिए लो-कैप कैश पर ट्रेड करने के लिए" किया गया था। Binance ने उपभोक्ता को धनवापसी करने से मना कर दिया। सीजेड ने ट्वीट किया कि नुकसान का पता नहीं लगाया जा सकता है, और अगर कंपनी इस तरह के नुकसान की भरपाई करती है, तो "हम केवल उन ग्राहकों के लिए भुगतान करेंगे जो अपनी एपीआई कुंजी खो देते हैं।"
मांबा, वास्तव में हमारे पास यह सुनिश्चित करने का कोई तरीका नहीं है कि ग्राहकों ने अपनी स्वयं की एपीआई कुंजियां नहीं चुराई हैं। ट्रेडों को आपके द्वारा बनाई गई एपीआई कुंजियों का उपयोग करके बनाया गया है। अन्यथा, हम केवल उन ग्राहकों के लिए भुगतान करते हैं जो अपनी एपीआई कुंजियाँ खो देते हैं। मुझे आशा है कि आप समझ गए होंगे।
- सीजेड बिनेंस (@cz_binance) दिसम्बर 9/2022
11 दिसंबर को, 3Commas के CEO यूरी सोरोकिन ने कॉर्पोरेट ब्लॉग पर दावा किया कि नकली स्क्रीनशॉट ट्विटर और यूट्यूब पर प्रसारित हो रहे थे, यह दिखाने के लिए कि कंपनी के पास सुरक्षा के उपाय थे और कर्मचारी एपीआई कुंजियों की चोरी कर रहे थे। नकली के गहन तकनीकी मूल्यांकन में सोरोकिन ने आरोपों से इनकार किया:
"स्क्रीनशॉट लेने वाले ने एक HTML संपादक का उपयोग करके बहुत अच्छा काम किया, लेकिन उन्होंने कुछ आवश्यक त्रुटियां कीं जो उनके दावों को फर्जी साबित करती हैं। हम स्तर दर स्तर इन स्तरों से गुजरेंगे।"
अक्टूबर के अंत में सुरक्षा बिंदु पहली बार 3Commas में उभरे। फिर से, अभी भी काम कर रहे एफटीएक्स बदलाव ने एफटीएक्स पर डीएमजी कॉइन का उपयोग करने वाले अनधिकृत खरीद और बिक्री जोड़े के उपभोक्ता अनुभवों के जवाब में एक सुरक्षा चेतावनी जारी की। 3Commas और FTX ने पाया कि हैकर्स ने व्यापार करने के लिए 3Commas खाते बनाए थे। हालाँकि, 3Commas ब्लॉग के अनुसार, "API कुंजियाँ 3Commas से नहीं बल्कि 3Commas प्लेटफ़ॉर्म के बाहर से विरासत में मिली थीं"।
एसोसिएटेड: बायनेन्स अपने ग्राहकों को एक जवाबदेह खरीद और बिक्री कार्यक्रम के साथ कैसे बचाता है
बाद में ब्लॉग प्रविष्टिसोरोकिन ने स्वीकार किया कि "अब हमारे पास स्पष्ट प्रमाण हैं कि फ़िशिंग ने उपभोक्ता हानियों के लिए, आंशिक रूप से कम नहीं, योगदान दिया है।"
इस बीच, एक ट्विटर उपयोगकर्ता ने दावा किया है कि 3Commas की सभी API कुंजी लीक हो गई हैं।
पीपीई
3Commas API लीक उस स्थिति में लॉन्च किया गया है, जब आपने अपनी API कुंजी को पहले ही हटा नहीं दिया है pic.twitter.com/yEvrxyWBIq
- डीबी (@ tier10k) दिसम्बर 28/2022
अब सोरोकिन ने रिसाव की पुष्टि की है, जिसमें यह भी कहा गया है कि इस बात का कोई सबूत नहीं मिला है कि रिसाव एक आंतरिक काम था।
1. 3Commas का दावा:
हमने हैकर के संदेश को देखा और यह सत्यापित कर सकते हैं कि फाइलों में दी गई जानकारी सत्य है। तत्काल कार्रवाई के रूप में, हमने बिनेंस, कुकॉइन और अन्य समर्थित एक्सचेंजों से 3Commas से जुड़ी सभी चाबियों को रद्द करने का अनुरोध किया।
— यूरी सोरोकिन (@YS_3Commas) दिसम्बर 28/2022