Il 8 dicembre, il CEO di Binance Changpeng Zhao (CZ) ha avvertito i suoi 28 milioni di follower su Twitter di essere "abbastanza sicuro" che si fossero verificate perdite di chiavi API sulla piattaforma di amministrazione del commercio di criptovalute.
Sono abbastanza certo che ci siano diffuse perdite di chiavi API da 3Commas. Se nel caso in cui hai mai inserito una chiave API in 3Commas (da qualsiasi modifica), disattivala immediatamente.
mantenere #Last a.
- CZ Binance (@cz_binance) Dicembre 28, 2022
La divulgazione di CZ ha adottato un incidente il 9 dicembre, quando Binance ha cancellato l'account di un consumatore che si era lamentato di aver perso fondi il giorno prima. Questo consumatore ha affermato che una chiave API trapelata legata a 3Commas è stata utilizzata "per fare scambi su contanti a bassa capitalizzazione per aumentare il valore per realizzare entrate". Binance ha rifiutato di rimborsare il consumatore. CZ ha twittato che la perdita non è rilevabile e se l'azienda recupera tali perdite, "pagheremo esclusivamente per i clienti che perdono le loro chiavi API".
Mamba, non c'è praticamente alcun metodo per noi per assicurarci che i clienti non abbiano rubato le proprie chiavi API. Gli scambi sono stati effettuati utilizzando le chiavi API che hai creato. In ogni altro caso, paghiamo esclusivamente i clienti che rilasciano le loro chiavi API. Spero che tu percepisca.
- CZ Binance (@cz_binance) Dicembre 9, 2022
L'11 dicembre, il CEO di 3Commas Yuriy Sorokin ha affermato sul blog aziendale che su Twitter e YouTube sono circolati screenshot falsi per indicare che l'azienda aveva misure di sicurezza permissive e che il personale stava rubando le chiavi API. Sorokin ha negato le accuse in un'approfondita valutazione tecnica dei falsi:
"Quello che ha preso gli screenshot ha fatto un ottimo lavoro utilizzando un editor HTML, ma ha commesso un paio di errori essenziali che dimostrano semplicemente che le loro affermazioni sono fasulle. Li esamineremo livello per livello."
I punti di sicurezza sono emersi per la prima volta a 3Commas alla fine di ottobre. Anche in questo caso, la modifica FTX ancora funzionante ha emesso un avviso di sicurezza in risposta alle esperienze dei consumatori di acquisto e vendita non autorizzati di coppie che utilizzano la moneta DMG su FTX. 3Commas e FTX hanno scoperto che gli hacker avevano creato account 3Commas per condurre le negoziazioni. Tuttavia, secondo il blog di 3Commas, "le chiavi API non sono state ereditate da 3Commas ma dall'esterno della piattaforma 3Commas".
Associated: Come Binance protegge i propri clienti con un programma di acquisto e vendita responsabile
In un secondo post di blogSorokin ha riconosciuto che "ora abbiamo prove evidenti che il phishing ha contribuito, non meno che parzialmente, alle perdite dei consumatori".
Nel frattempo, un consumatore di Twitter ha affermato che tutte le chiavi API di 3Commas sono trapelate.
DPI
La perdita dell'API 3Commas è stata lanciata nel caso in cui tu non abbia già RIMOSSO LA TUA CHIAVE API pic.twitter.com/yEvrxyWBIq
—db (@tier10k) Dicembre 28, 2022
Ora Sorokin ha confermato la fuga di notizie, incluso il fatto che non è stata trovata alcuna prova che la fuga di notizie fosse un lavoro interno.
1. Asserzione di 3 virgole:
Abbiamo notato il messaggio dell'hacker e potremmo verificare che le informazioni all'interno dei recorddata siano vere. Come mozione immediata, abbiamo chiesto a Binance, Kucoin e altri scambi supportati di revocare tutte le chiavi relative a 3Commas.
— Yuriy Sorokin (@YS_3Commas) Dicembre 28, 2022
