Dat zei een groep handelaren vorige week Voor $ 22 miljoen aan crypto was gestolen via gecompromitteerde API-sleutels van het handelsplatform 3Commas. Woensdag gaf 3Commas toe dat het de bron was van dat API-lek.
De aankondiging kwam nadat een anonieme Twitter-gebruiker ongeveer 100,000 API-sleutels van 3Commas-gebruikers had verkregen en deze online had gepubliceerd.
3Commas had aanvankelijk volgehouden dat er geen beveiligingsprobleem was, en mede-oprichter Yuriy Sorokin suggereerde herhaaldelijk op Twitter dat een phishing-aanval ervoor zorgde dat gebruikers hun gegevens opgaven.
Maar op woensdag twitterde Sorokin: "We hebben het bericht van de hacker gezien en kunnen bevestigen dat de gegevens in de bestanden waar zijn... Het spijt ons dat dit zo ver is gekomen en we zullen transparant blijven in onze communicatie over de situatie."
3Commas is een platform waarmee gebruikers meerdere crypto-uitwisselingsaccounts, zoals die op Binance, kunnen koppelen aan geautomatiseerde handelssoftware. Dit gebeurt allemaal via API's (Application Programming Interfaces), de gestandaardiseerde mechanismen die afzonderlijke softwarecomponenten in staat stellen met elkaar te communiceren en taken uit te voeren. Het idee is dat mensen niet het harde werk hoeven te doen om over hun beroep na te denken. In plaats daarvan gebeurt het allemaal direct en automatisch via code.
Totdat de verkeerde mensen toegang krijgen tot de API's.
Blockchain-speurneus @ZachXBT zei eerder op Twitter dat hij een groep van 44 slachtoffers had geverifieerd die in totaal $ 14.8 miljoen verloren door API-sleutels die waren gestolen van 3Commas.
Als reactie tweette Sorokin: "Als je een slachtoffer bent, betekent dit dat je sleutels op de een of andere manier zijn gelekt", maar "niet van 3Commas." Als de gelekte API-sleutels van 3Commas waren geweest, "zou je miljoenen gevallen hebben gezien, geen honderd", redeneerde hij.
In een afzonderlijke thread, hekelde hij "incompetentie van grote mediabronnen" en trok hij de geldigheid in twijfel van een gecrowdsourcete spreadsheet met gecompromitteerde accounts. "Let erop dat de meerderheid van de gebruikers die verliezen melden, niet eens een supportticket bij de centrale hebben geopend en niet naar de politie zijn gegaan", tweette Sorokin. "Hoe werd deze informatie geverifieerd?"
Nogmaals hij beweerde dat er te weinig incidenten waren om een 3Commas-exploit te zijn. "Er zijn meer dan 1 [miljoen] sleutels verbonden met 3Commas, met ongeveer 100 gebruikers die problemen met hun accounts melden", tweette Sorokin.. "Waarom zou dat gebeuren als [database] is gelekt?"
Vandaag tweette een betuigde ZachXBT dat "[3Commas] zijn gebruikers al wekenlang de schuld geeft en geen enkele verantwoordelijkheid aanvaardt."
"Je bleef liegen en zeggen dat dit onze schuld was in plaats van de verantwoordelijkheid te nemen en verdere exploits te voorkomen", voegde hij eraan toe @CoinMamba, een andere 3Commas-gebruiker die zei dat hij geld was kwijtgeraakt. "Gaat u de gebruikers nu terugbetalen?"
Dit is niet de eerste keer dat 3Commas en zijn API-verwerking onder de loep worden genomen. Ongeveer een maand voordat FTX faillissement aanvroeg, stemde Sam Bankman-Fried ermee in om $ 6 miljoen terug te betalen aan klanten die getroffen waren door wat werd beschreven als een phishing scam met 3Commas.
Op woensdag tweette de CEO van Binance, Changpeng Zhao, dat hij "redelijk zeker" was dat er "wijdverbreide API-sleutellekken" waren van 3Commas.
CZ voegde eraan toe dat gebruikers hun API-sleutels in 3Commas moeten uitschakelen. Dit is wat 3Commas nu ook aanbeveelt.
"Als onmiddellijke actie hebben we Binance, Kucoin en andere ondersteunde beurzen gevraagd om alle sleutels in te trekken die verbonden waren met 3Commas", tweette Sorokin.
3Commas heeft niet gereageerd op een verzoek om verder commentaar van decoderen.
Blijf op de hoogte van cryptonieuws, ontvang dagelijkse updates in je inbox.
Bron: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
