Binance-sjef Changpeng Zhao (CZ) advarte sine 8 millioner Twitter-følgere 28. desember om at han var "ganske sikker på at" API-nøkkellekkasjer har forekommet på administrasjonsplattformen for kryptovaluta-handel.
Jeg er ganske sikker på at det er utbredte API-nøkkellekkasjer fra 3Commas. Hvis du noen gang har skrevet inn en API-nøkkel i 3Commas (fra enhver endring), vennligst deaktiver den umiddelbart.
Hold #LINJE.
- CZ Binance (@cz_binance) Desember 28, 2022
CZs avsløring vedtok en hendelse den 9. desember da Binance slettet kontoen til en forbruker som hadde klaget over å miste penger en dag tidligere. Denne forbrukeren hevdet at en lekket API-nøkkel knyttet til 3Commas ble brukt "for å gjøre handler med lavkapitalkontanter for å krydre verdien for å tjene penger." Binance nektet å refundere forbrukeren. CZ twitret at tapet er uoppdagelig, og hvis selskapet gjenoppretter slike tap, "vil vi kun betale for kunder som mister API-nøklene."
Mamba, det er praktisk talt ingen metode for oss for å sikre at kunder ikke har stjålet sine egne API-nøkler. Handlingene er gjort ved å bruke API-nøklene du opprettet. I alle andre tilfeller betaler vi kun for kunder som mister API-nøklene. Jeg håper du skjønner.
- CZ Binance (@cz_binance) Desember 9, 2022
11. desember hevdet 3Commas-sjef Yuriy Sorokin på bedriftens weblogg at falske skjermbilder har sirkulert på Twitter og YouTube for å indikere at bedriften hadde slappe sikkerhetstiltak og at ansatte har stjålet API-nøkler. Sorokin benektet påstandene i en grundig teknisk evaluering av forfalskningene:
"Den som tok skjermbildene gjorde en veldig god jobb ved å bruke en HTML-editor, men de gjorde et par viktige feil som ganske enkelt viser at påstandene deres er falske. Vi vil gjennomgå disse nivå for nivå."
Sikkerhetspunkter dukket først opp på 3Commas i slutten av oktober. Igjen utstedte den fortsatt fungerende FTX-endringen et sikkerhetsvarsel som svar på forbrukeropplevelser med uautoriserte kjøp og salg av par ved bruk av DMG-mynten på FTX. 3Commas og FTX oppdaget at hackere hadde opprettet 3Commas-kontoer for å utføre handelene. Likevel, i tråd med 3Commas-webloggen, "ble API-nøklene ikke arvet fra 3Commas, men fra utendørs 3Commas-plattformen".
Associated: Hvordan Binance beskytter sine kunder med et ansvarlig kjøps- og salgsprogram
I et senere blogginnleggSorokin erkjente at "vi nå har klare bevis på at phishing bidro, ikke mindre enn delvis, til forbrukertap."
I mellomtiden har en Twitter-forbruker hevdet at hver eneste av 3Commas' API-nøkler har blitt lekket.
PPE
3Commas API-lekkasje har blitt lansert i tilfelle du ikke allerede har FJERNET API-NØKKELEN pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) Desember 28, 2022
Nå har Sorokin bekreftet lekkasjen, inkludert at det ikke er oppdaget bevis for at lekkasjen var en innsidejobb.
1. Påstand om 3 kommaer:
Vi la merke til hackerens melding og kan bekrefte at informasjonen i journaldataene er sanne. Som en umiddelbart bevegelse ba vi Binance, Kucoin og forskjellige støttede børser tilbakekalle alle nøkler relatert til 3Commas.
— Yuriy Sorokin (@YS_3Commas) Desember 28, 2022