Sekumpulan peniaga minggu lalu berkata demikian Kripto bernilai $22 juta telah dicuri melalui kunci API yang terjejas daripada platform dagangan 3Commas. Pada hari Rabu, 3Commas mengakui ia adalah punca kebocoran API itu.
Pengumuman itu dibuat selepas pengguna Twitter tanpa nama memperoleh sekitar 100,000 kunci API milik pengguna 3Commas dan menerbitkannya dalam talian.
3Commas pada mulanya menegaskan tiada isu keselamatan pada akhirnya, dan pengasas bersama Yuriy Sorokin berulang kali mencadangkan di Twitter bahawa serangan pancingan data menyebabkan pengguna menyerahkan data mereka.
Tetapi pada hari Rabu, Sorokin menulis tweet: "Kami melihat mesej penggodam dan boleh mengesahkan bahawa data dalam fail adalah benar... Kami memohon maaf kerana perkara ini telah berlaku setakat ini dan akan terus telus dalam komunikasi kami mengenai situasi ini."
3Commas ialah platform yang membolehkan pengguna memautkan berbilang akaun pertukaran kripto—seperti yang disimpan di Binance—ke perisian dagangan automatik. Ini semua dilakukan melalui API (antara muka pengaturcaraan aplikasi), mekanisme piawai yang membolehkan komponen perisian berasingan untuk berkomunikasi antara satu sama lain dan melaksanakan tugas. Ideanya adalah bahawa manusia tidak perlu melakukan kerja keras untuk memikirkan perdagangan mereka. Sebaliknya, semuanya dilakukan serta-merta dan secara automatik melalui kod.
Sehingga orang yang salah mendapat akses kepada API.
Penjaga rantaian blok @ZachXBT sebelum ini berkata di Twitter bahawa dia telah mengesahkan sekumpulan 44 mangsa yang kehilangan sejumlah $14.8 juta melalui kunci API yang dicuri daripada 3Commas.
Sebagai tindak balas, Sorokin menulis tweet bahawa "Jika anda menjadi mangsa, maka ini bermakna entah bagaimana kunci anda telah bocor," tetapi "bukan daripada 3Commas." Jika kunci API yang bocor adalah daripada 3Commas, "anda akan melihat berjuta-juta kes, bukan seratus," dia beralasan.
Dalam pakej benang berasingan, dia mengecam "ketidakcekapan daripada sumber media besar" dan mempersoalkan kesahihan hamparan sumber orang ramai bagi akaun yang terjejas. "Perhatikan bahawa majoriti pengguna yang melaporkan kerugian tidak membuka tiket sokongan dengan pertukaran, dan tidak pergi ke polis," tweet Sorokin. “Bagaimanakah maklumat ini disahkan?”
Sekali lagi dia menegaskan bahawa terdapat terlalu sedikit insiden untuk ia menjadi eksploitasi 3Commas. "Terdapat lebih 1 [juta] kunci disambungkan ke 3Commas, dengan ~100 pengguna melaporkan isu dengan akaun mereka," tweet Sorokin. "Mengapa perkara itu berlaku jika [pangkalan data] dibocorkan?"
Hari ini, ZachXBT yang dibenarkan menulis tweet bahawa "selama berminggu-minggu [3Commas] menyalahkan penggunanya dan menerima tanggungjawab sifar."
"Anda terus berbohong dan mengatakan ini adalah kesalahan kami dan bukannya mengambil tanggungjawab dan menghalang eksploitasi selanjutnya," tambahnya @CoinMamba, seorang lagi pengguna 3Commas yang mengatakan dia kehilangan dana. “Adakah anda akan membayar balik pengguna sekarang?”
Ini bukan kali pertama 3Commas dan pengendalian APInya diselidiki. Kira-kira sebulan sebelum FTX memfailkan kebankrapan, Sam Bankman-Fried bersetuju untuk membayar balik $6 juta kepada pelanggan yang terjejas oleh apa yang disifatkan sebagai penipuan phishing melibatkan 3Koma.
Pada hari Rabu, Ketua Pegawai Eksekutif Binance Changpeng Zhao menulis tweet bahawa dia "cukup pasti" terdapat "kebocoran kunci API yang meluas" daripada 3Commas.
CZ menambah bahawa pengguna harus melumpuhkan kunci API mereka dalam 3Commas. Inilah yang kini disyorkan oleh 3Commas juga.
"Sebagai tindakan segera, kami telah meminta Binance, Kucoin, dan pertukaran lain yang disokong membatalkan semua kunci yang disambungkan ke 3Commas," tweet Sorokin.
3Commas belum menjawab permintaan untuk mendapatkan ulasan lanjut daripada Decrypt.
Ikuti perkembangan berita crypto, dapatkan kemas kini harian dalam peti masuk anda.
Sumber: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
