Selepas mendakwa selama beberapa hari bahawa pengguna platform baru sahaja terjebak dengan penipuan pancingan data, Ketua Pegawai Eksekutif 3Commas akhirnya mengakui bahawa kunci API yang terjejas adalah di sebalik kehilangan dana.
Kunci API Pengguna Dikompromi
3Commas mengakui bahawa platform itu telah dikompromi pada hari Rabu selepas pengguna Twitter tanpa nama menerbitkan sekitar 100,000 kunci API milik pengguna. Walau bagaimanapun, terdapat berita di sekitar blockchain bahawa pangkalan data API platform telah dikompromi untuk sementara waktu sekarang. Baru minggu lepas, terdapat berita tentang dana crypto bernilai $22 juta disedut melalui kunci API yang terjejas ini. Ketika itu, Ketua Pegawai Eksekutif platform itu mendakwa bahawa kerugian dalam dana berlaku disebabkan oleh keputusan yang tidak baik yang diambil oleh beberapa pengguna yang jatuh cinta. penipuan phishing. Walau bagaimanapun, berpuluh-puluh pengguna telah mendakwa bahawa kunci API mereka digunakan untuk melaksanakan perdagangan di bursa seperti Binance, KuCoin, dan Coinbase tanpa persetujuan mereka.
Bukan Pekerjaan Dalaman
Dengan pengesahan kompromi pangkalan data API, bagaimanapun, Ketua Pegawai Eksekutif Yuriy Sorokin telah dipaksa untuk memakan kata-katanya dan mengakui masalah sebenar dengan platform itu. Pada hari Rabu, dia tweet,
“Kami melihat mesej penggodam dan boleh mengesahkan bahawa data dalam fail adalah benar. Sebagai tindakan segera, kami telah meminta Binance, Kucoin dan pertukaran lain yang disokong membatalkan semua kunci yang disambungkan ke 3Commas.”
Sorokin juga mendedahkan bahawa pasukan itu telah menyiasat kemungkinan pekerjaan dalaman, disebabkan sifat penggodaman; bagaimanapun, tiada bukti sedemikian ditemui. Pekerjaan dalaman disyaki kerana sebilangan kecil pekerja teknikal mempunyai akses kepada infrastruktur. Sorokin mendakwa bahawa akses mereka telah dialih keluar sejak 19 November.
3Koma Gagal Menghalang Kompromi API
Platform 3Commas membolehkan pengguna memautkan lebih daripada satu akaun yang dipegang dalam pertukaran crypto berbeza kepada perisian dagangan automatik melalui antara muka pengaturcaraan aplikasi atau API. Walau bagaimanapun, jika pihak yang tidak diingini mendapat kunci API ini, maka mereka boleh mengawal semua akaun yang dipautkan dan mengalirkan dana, yang sebenarnya berlaku dalam situasi ini.
Sorokin bercakap tentang memberi tumpuan untuk melaksanakan langkah keselamatan yang lebih ketat untuk mengelakkan kejadian ini berulang. Dia tweet,
“Sejak itu, kami telah melaksanakan langkah keselamatan baharu dan tidak akan berhenti di situ; kami melancarkan siasatan penuh melibatkan penguatkuasaan undang-undang. Kami kesal kerana perkara ini telah berlaku setakat ini dan akan terus telus dalam komunikasi kami mengenai situasi ini.”
Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.
Sumber: https://cryptodaily.co.uk/2022/12/3commas-ceo-confirms-api-database-leak