O CEO da Binance, Changpeng 'CZ' Zhao, afirmou que estava bastante certo de que a 3Commas, uma plataforma para gerenciamento de negociações de criptomoedas, tem um vazamento generalizado de chave de API.
Em 29 de dezembro, CZ aconselhou os usuários no Twitter a desativar todas as chaves de API de troca que eles inseriram na plataforma 3Commas. Além disso, ele respondeu a um usuário dizendo que, embora a Binance esteja tentando desativá-lo no site, a tarefa é 'complicada'.
A declaração de CZ segue um incidente em 9 de dezembro em que a Binance fechou as contas de alguns usuários que reclamaram que seus fundos haviam sido drenados.
Anteriormente, um usuário afirmou que a plataforma 3Commas expôs a chave da API. Aparentemente, foi utilizado para negociar criptoativos de baixa capitalização para impulsionar os preços e o lucro.
Em resposta, a Binance se recusou a reembolsar os usuários. CZ argumentou que nunca poderia ser verificado se os usuários não roubaram suas próprias chaves de API. Ele disse: “As negociações foram feitas usando as chaves de API que você criou. Caso contrário, estaremos apenas pagando para que os usuários percam suas chaves de API. Eu espero que você entenda."
Negando problemas de segurança
Em 11 de dezembro, o CEO da 3Commas, Yuriy Sorokin, afirmou que as capturas de tela falsas retratando seu relaxamento segurança estava circulando no Twitter e no YouTube. Além disso, ele refutou as alegações de que membros da equipe da 3Commas haviam roubado chaves de API.
Ele argumentou: “A pessoa que criou as capturas de tela fez um bom trabalho com um editor de HTML, mas cometeu alguns erros importantes que provam facilmente que suas afirmações são falsas. Nós vamos passar por isso ponto por ponto.”
No final de outubro, a 3Commas começou a ter problemas de segurança. Em resposta às alegações de usuários sobre negociações não autorizadas na FTX na época, a bolsa também emitiu um alerta de segurança.
FTX e 3 vírgulas estipulado trata-se de uma possível tentativa de phishing em que os hackers criaram contas 3Commas para fazer negócios. De acordo com a 3Commas, as chaves da API não foram retiradas de sua plataforma proprietária, mas de sites replicados.
Mais tarde, Sorokin reconheceu que as evidências mostraram que o phishing foi pelo menos um fator que contribuiu para o roubo da API.
No entanto, a comunidade cripto no Twitter alegou que as chaves da API 3Commas foram comprometidas devido a uma violação de segurança.
3Commas finalmente admite ter experimentado vazamentos de dados
Em um desenvolvimento recente, o CEO Yuriy Sorokin foi ao Twitter para reconhecer pela primeira vez que houve um vazamento de dados em sua empresa. Sorokin explicou que eles verificaram que as informações nos arquivos eram precisas depois de ver a mensagem do hacker. Além disso, o executivo confirmou que a 3Commas agora exigiu a revogação imediata de todas as chaves da Binance, Kucoin, e todas as trocas suportadas.
O chefe da plataforma também concordou que um trabalho interno é sempre possível, mas não encontrou nenhuma evidência disso na investigação.
Agora, ele afirmou que a plataforma lançou uma investigação completa envolvendo a aplicação da lei. Enquanto isso, a conta do 3Commas no Twitter reivindicações que nenhuma chave feita depois de 16 de novembro está em risco.
A plataforma também declarou: “Pedimos a todos os usuários que reemitam suas chaves nas bolsas. Mais uma vez, nos comprometemos a dizer que nenhuma chave após 16 de novembro está em risco. Caso você não os atualize, eles serão revogados pelas exchanges para garantir a segurança da sua conta.”
Perda estimada acima de $ 10 milhões
Em 23 de dezembro, um grupo de comerciantes alegou que uma chave de API da plataforma 3Commas havia sido comprometida, permitindo o roubo de mais de US$ 22 milhões em criptomoeda.
A 3Commas só ficou limpa depois que a comunidade criptográfica do Twitter obteve e publicou publicamente cerca de 100,000 chaves de API de seus usuários.
Em 20 de dezembro, o investigador de blockchain ZachXBT afirmou que 44 vítimas perderam cerca de US$ 14.8 milhões devido às chaves roubadas.
Em sua última declaração, ZachXBT disse: “3Commas finalmente reconheceu o vazamento, mas o estrago já havia sido feito. Durante semanas, eles culparam seus usuários e aceitaram responsabilidade zero”.
Aviso Legal
O BeInCrypto entrou em contato com a empresa ou indivíduo envolvido na história para obter uma declaração oficial sobre os desenvolvimentos recentes, mas ainda não recebeu resposta.
Fonte: https://beincrypto.com/3commas-ceo-admits-to-api-leak-asks-exchanges-to-revoke-keys/