Hópur kaupmanna sagði það í síðustu viku Dulmáli að andvirði 22 milljóna dollara hafði verið stolið í gegnum málamiðlana API lykla frá viðskiptavettvangnum 3Commas. Á miðvikudaginn viðurkenndi 3Commas að það væri uppspretta þess API leka.
Tilkynningin kom í kjölfar þess að nafnlaus Twitter notandi fékk um 100,000 API lykla sem tilheyra 3Commas notendum og birti á netinu.
3Commas hafði upphaflega fullyrt að það væri ekkert öryggisvandamál á endanum, og annar stofnandi Yuriy Sorokin lagði ítrekað til á Twitter að vefveiðarárás valdi því að notendur gáfu upp gögnin sín.
En á miðvikudaginn tísti Sorokin: „Við sáum skilaboð tölvuþrjótsins og getum staðfest að gögnin í skránum séu sönn... Okkur þykir leitt að þetta hafi náð svo langt og munum halda áfram að vera gagnsætt í samskiptum okkar um ástandið.
3Commas er vettvangur sem gerir notendum kleift að tengja marga dulritunarskiptareikninga - eins og þá sem eru á Binance - við sjálfvirkan viðskiptahugbúnað. Þetta er allt gert í gegnum API (forritunarviðmót forrita), stöðluðu kerfin sem gera aðskildum hugbúnaðarhlutum kleift að eiga samskipti sín á milli og framkvæma verkefni. Hugmyndin er sú að menn þurfi ekki að vinna erfiðisvinnuna við að hugsa um viðskipti sín. Þess í stað er þetta allt gert samstundis og sjálfkrafa með kóða.
Þangað til rangt fólk fær aðgang að API.
Blockchain spekingur @ZachXBT sagði áður á Twitter að hann hefði sannreynt hóp 44 fórnarlamba sem tapaði samtals 14.8 milljónum Bandaríkjadala með API lyklum sem stolið var frá 3Commas.
Sem svar tísti Sorokin að „Ef þú ert fórnarlamb, þá þýðir það að einhvern veginn hafi lyklunum þínum verið lekið,“ en „ekki frá 3Commas. Ef API lyklarnir sem lekið hefðu verið frá 3Commas, „þú hefðir séð milljónir tilvika, ekki hundrað,“ rökstuddi hann.
Í sér þráður, sprengdi hann „vanhæfni frá stórum fjölmiðlaheimildum“ og efaðist um réttmæti fjöldauppsetts töflureikni með reikningum sem hafa verið í hættu. „Gættu þess að meirihluti notenda sem tilkynntu um tap opnuðu ekki einu sinni stuðningsmiða með kauphöllinni og fóru ekki til lögreglunnar,“ tísti Sorokin. „Hvernig voru þessar upplýsingar sannreyndar?
Aftur hann fullyrt að það hafi verið of fá atvik til að það hafi verið 3Commas hetjudáð. „Það eru yfir 1 [milljón] lyklar tengdir 3Commas, með ~100 notendum sem tilkynna vandamál með reikninga sína,“ tísti Sorokin. „Af hverju myndi það gerast ef [gagnagrunni] væri lekið?
Í dag tísti ZachXBT sem hefur staðfest að „[3Commas] hafi í margar vikur verið að kenna notendum sínum um og axla enga ábyrgð.
„Þú hélt áfram að ljúga og sagðir að þetta væri okkur að kenna í stað þess að taka ábyrgð og koma í veg fyrir frekari hetjudáð,“ bætti við @CoinMamba, annar 3Commas notandi sem sagðist hafa tapað fé. "Ætlarðu að endurgreiða notendum núna?"
Þetta er ekki í fyrsta skipti sem 3Commas og API meðhöndlun þess er til skoðunar. Um mánuði áður en FTX fór fram á gjaldþrot samþykkti Sam Bankman-Fried að endurgreiða 6 milljónir dala til viðskiptavina sem urðu fyrir áhrifum af því sem lýst var sem phishing svindl sem felur í sér 3komma.
Á miðvikudaginn tísti Changpeng Zhao, forstjóri Binance, að hann væri „nokkuð viss um“ að það væru „útbreiddir API lykillekar“ frá 3Commas.
CZ bætti við að notendur ættu að slökkva á API lyklum sínum í 3Commas. Þetta er það sem 3Commas mælir nú líka með.
„Sem tafarlaus aðgerð höfum við beðið um að Binance, Kucoin og önnur studd kauphallir afturkalli alla lykla sem tengdust 3Commas,“ tísti Sorokin.
3Commas hefur ekki svarað beiðni um frekari athugasemdir frá Afkóða.
Fylgstu með dulmálsfréttum, fáðu daglegar uppfærslur í pósthólfinu þínu.
Heimild: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
