Binance CEO Changpeng Zhao (CZ) waarschuwde zijn 8 miljoen Twitter-volgers op 28 december dat hij "vrij zeker" was dat er API-sleutellekken zijn opgetreden op het cryptocurrency commerce-administratieplatform.
Ik ben er vrij zeker van dat er wijdverspreide API-sleutellekken zijn van 3Commas. Als u ooit een API-sleutel in 3Commas heeft ingevoerd (van een wijziging), deactiveer deze dan onmiddellijk.
Houden #Last naar.
- CZ Binance (@cz_binance) 28 december 2022
De onthulling van CZ omvatte een incident op 9 december toen Binance het account verwijderde van een consument die een dag eerder had geklaagd over het laten vallen van geld. Deze consument beweerde dat een uitgelekte API-sleutel gekoppeld aan 3Commas werd gebruikt "om transacties uit te voeren met low-cap cash om de waarde op te krikken om inkomsten te genereren." Binance weigerde de consument terug te betalen. CZ twitterde dat het verlies niet detecteerbaar is, en als het bedrijf dergelijke verliezen goedmaakt, "betalen we alleen voor klanten die hun API-sleutels laten vallen."
Mamba, er is vrijwel geen methode voor ons om er zeker van te zijn dat klanten niet hun eigen API-sleutels hebben gestolen. De transacties zijn gedaan met behulp van de API-sleutels die u hebt gemaakt. In alle andere gevallen betalen we alleen voor klanten die hun API-sleutels laten vallen. Ik hoop dat je het merkt.
- CZ Binance (@cz_binance) 9 december 2022
Op 11 december beweerde Yuriy Sorokin, CEO van 3Commas, op de weblog van het bedrijf dat nep-screenshots op Twitter en YouTube circuleerden om aan te geven dat het bedrijf lakse veiligheidsmaatregelen had genomen en dat het personeel API-sleutels had gestolen. Sorokin ontkende de beschuldigingen in een diepgaande technische evaluatie van de vervalsingen:
"Degene die de schermafbeeldingen heeft gemaakt, heeft uitstekend werk geleverd met behulp van een HTML-editor, maar ze hebben een paar essentiële fouten gemaakt die gewoon aantonen dat hun beweringen nep zijn. We zullen deze niveau voor niveau bekijken."
Veiligheidspunten kwamen eind oktober voor het eerst naar voren bij 3Commas. Nogmaals, de nog steeds functionerende FTX-wijziging gaf een veiligheidswaarschuwing af als reactie op consumentenervaringen van ongeautoriseerde koop- en verkoopparen met behulp van de DMG-munt op FTX. 3Commas en FTX ontdekten dat hackers 3Commas-accounts hadden gemaakt om de transacties uit te voeren. Volgens de 3Commas-weblog zijn "de API-sleutels echter niet geërfd van 3Commas, maar van buiten het 3Commas-platform".
Geassocieerd: hoe Binance zijn klanten beschermt met een verantwoordelijk koop- en verkoopprogramma
In een later blogberichtSorokin erkende dat "we nu duidelijk bewijs hebben dat phishing, niet minder dan gedeeltelijk, heeft bijgedragen aan consumentenverliezen."
Ondertussen heeft een Twitter-consument beweerd dat alle API-sleutels van 3Commas zijn gelekt.
PPE
3Commas API-lek is gelanceerd voor het geval je je API-sleutel nog niet hebt VERWIJDERD pic.twitter.com/yEvrxyWBIq
—db (@tier10k) 28 december 2022
Nu heeft Sorokin het lek bevestigd, inclusief dat er geen bewijs is ontdekt dat het lek een inside job was.
1. Bewering van 3Commas:
We hebben het bericht van de hacker opgemerkt en kunnen verifiëren dat de informatie in de recordgegevens waar is. We hebben meteen gevraagd dat Binance, Kucoin en verschillende ondersteunde uitwisselingen alle sleutels met betrekking tot 3Commas intrekken.
— Yuri Sorokin (@YS_3Commas) 28 december 2022