Binances vd Changpeng Zhao (CZ) varnade sina 8 miljoner Twitter-anhängare den 28 december att han var "ganska säker på" att API-nyckelläckor har inträffat på plattformen för handelsadministration för kryptovaluta.
Jag är ganska säker på att det finns utbredda API-nyckelläckor från 3Commas. Om du någonsin har skrivit in en API-nyckel i 3Commas (från någon ändring), vänligen inaktivera den omedelbart.
Ha kvar #LINJE.
- CZ Binance (@cz_binance) December 28, 2022
CZ:s avslöjande antog en incident den 9 december när Binance raderade kontot för en konsument som hade klagat över att ha tappat pengar en dag tidigare. Den här konsumenten hävdade att en läckt API-nyckel kopplad till 3Commas användes "för att göra affärer med kontanter med lågt kapital för att krydda värdet för att tjäna inkomst." Binance avböjde att återbetala konsumenten. CZ twittrade att förlusten är omöjlig att upptäcka, och om företaget återställer sådana förluster, "kommer vi enbart att betala för kunder som tappar sina API-nycklar."
Mamba, det finns praktiskt taget ingen metod för oss att säkerställa att kunder inte har stulit sina egna API-nycklar. Byten har gjorts med hjälp av API-nycklarna du skapade. I alla andra fall betalar vi enbart för kunder som tappar sina API-nycklar. Jag hoppas att du uppfattar.
- CZ Binance (@cz_binance) December 9, 2022
Den 11 december hävdade 3Commas VD Yuriy Sorokin på företagets webblogg att falska skärmdumpar har cirkulerat på Twitter och YouTube för att indikera att företaget hade slappa säkerhetsåtgärder och att personalen har stulit API-nycklar. Sorokin förnekade anklagelserna i en djupgående teknisk utvärdering av förfalskningarna:
"Den som tog skärmdumparna gjorde ett mycket bra jobb med att använda en HTML-redigerare, men de gjorde ett par viktiga fel som helt enkelt visar att deras påståenden är falska. Vi kommer att genomgå dessa nivå för nivå."
Säkerhetspunkter dök upp först vid 3Commas i slutet av oktober. Återigen utfärdade den fortfarande fungerande FTX-ändringen en säkerhetsvarning som svar på konsumentupplevelser av obehöriga köp- och säljpar som använder DMG-myntet på FTX. 3Commas och FTX upptäckte att hackare hade skapat 3Commas-konton för att utföra affärerna. Icke desto mindre, i linje med 3Commas-webbloggen, "ärvdes API-nycklarna inte från 3Commas men från 3Commas-plattformen utomhus".
Associated: Hur Binance skyddar sina kunder med ett ansvarsfullt köp- och säljprogram
Senare blogginläggSorokin erkände att "vi nu har tydliga bevis på att nätfiske inte mindre än delvis bidrog till konsumentförluster."
Under tiden har en Twitter-konsument hävdat att var och en av 3Commas API-nycklar har läckt.
Skyddsutrustning
3Commas API-läcka har lanserats om du inte redan har BORTTAGET DIN API-NYCKEL pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) December 28, 2022
Nu har Sorokin bekräftat läckan, bland annat att inga bevis har upptäckts för att läckan var ett internjobb.
1. Påstående om 3 kommatecken:
Vi lade märke till hackarens meddelande och kan verifiera att informationen i registerdata är sann. Som en direkt motion begärde vi att Binance, Kucoin och olika stödda börser återkallar alla nycklar relaterade till 3Commas.
— Yuriy Sorokin (@YS_3Commas) December 28, 2022