Geçen hafta bir grup tacir şunu söyledi: 22 milyon dolar değerinde kripto çalındı ticaret platformu 3Commas'tan güvenliği ihlal edilmiş API anahtarları aracılığıyla. Çarşamba günü 3Commas, API sızıntısının kaynağının bu olduğunu kabul etti.
Duyuru, anonim bir Twitter kullanıcısının 100,000Commas kullanıcılarına ait yaklaşık 3 API anahtarını ele geçirip çevrimiçi yayınlamasının ardından geldi.
3Commas başlangıçta herhangi bir güvenlik sorunu olmadığı konusunda ısrar etmişti.ve kurucu ortak Yuriy Sorokin, Twitter'da defalarca bir kimlik avı saldırısının kullanıcıların verilerini vermelerine neden olduğunu öne sürdü.
Ancak Çarşamba günü Sorokin tweet attı: "Bilgisayar korsanının mesajını gördük ve dosyalardaki verilerin doğru olduğunu onaylayabiliriz... Bu iş bu noktaya kadar geldiği için üzgünüz ve durumla ilgili iletişimlerimizde şeffaf olmaya devam edeceğiz."
3Commas, kullanıcıların Binance'te tutulanlar gibi birden fazla kripto takas hesabını otomatik ticaret yazılımına bağlamasına olanak tanıyan bir platformdur. Bunların tümü, ayrı yazılım bileşenlerinin birbirleriyle iletişim kurmasını ve görevleri gerçekleştirmesini sağlayan standartlaştırılmış mekanizmalar olan API'ler (uygulama programlama arabirimleri) aracılığıyla yapılır. Fikir şu ki, insanlar ticaretlerini düşünmek gibi zor işleri yapmak zorunda değiller. Bunun yerine, hepsi anında ve otomatik olarak kod aracılığıyla yapılır.
Ta ki yanlış kişiler API'lere erişene kadar.
Blockchain dedektifi @ZachXBT daha önce Twitter'da, 44Commas'tan çalınan API anahtarları aracılığıyla toplam 14.8 milyon dolar kaybeden 3 kişilik bir kurban grubunu doğruladığını söyledi.
Yanıt olarak Sorokin, "Eğer bir kurbansanız, o zaman anahtarlarınız bir şekilde sızdırılmış demektir", ancak "3Commas'tan değil" şeklinde tweet attı. Sızan API anahtarları 3Commas'tan olsaydı, "yüz değil, milyonlarca vaka görürdünüz" diye mantık yürüttü.
İçinde ayrı iplik, "büyük medya kaynaklarından gelen beceriksizliği" patlattı ve güvenliği ihlal edilmiş hesaplardan oluşan kitle kaynaklı bir elektronik tablonun geçerliliğini sorguladı. Sorokin, "Kayıp bildiren kullanıcıların çoğunluğunun borsaya bir destek bileti bile açmadığına ve polise gitmediğine dikkat edin" diye tweet attı. "Bu bilgi nasıl doğrulandı?"
yine o iddia 3Commas istismarı olamayacak kadar az olay olduğunu. Sorokin, "1Commas'a bağlı 3 [milyon] üzerinde anahtar var ve ~100 kullanıcı hesaplarıyla ilgili sorun bildiriyor," diye tweet attı Sorokin. "[veritabanı] sızdırılırsa bu neden olur?"
Bugün, haklı bir ZachXBT tweet attı "[3Commas] haftalardır kullanıcılarını suçluyor ve sıfır sorumluluk kabul ediyor."
"Sorumluluk almak yerine bunun bizim hatamız olduğunu söyleyerek yalan söylemeye devam ettiniz ve daha fazla istismarın önüne geçtiniz." @CoinMamba, para kaybettiğini söyleyen başka bir 3Commas kullanıcısı. “Kullanıcılara şimdi geri ödeme yapacak mısınız?”
Bu, 3Commas'ın ve API işlemesinin inceleme altına alındığı ilk sefer değil. FTX'in iflas başvurusunda bulunmasından yaklaşık bir ay önce, Sam Bankman-Fried, iflas olarak tanımlanan olaydan etkilenen müşterilere 6 milyon doları iade etmeyi kabul etti. kimlik avı dolandırıcılığı 3Virgül içeren.
Çarşamba günü Binance CEO'su Changpeng Zhao, 3Commas'tan "yaygın API anahtarı sızıntıları" olduğundan "makul ölçüde emin" olduğunu tweetledi.
CZ, kullanıcıların API anahtarlarını 3Commas'ta devre dışı bırakması gerektiğini ekledi. 3Commas'ın şimdi de önerdiği şey bu.
Sorokin, "Acil bir eylem olarak Binance, Kucoin ve diğer desteklenen borsalardan 3Commas'a bağlı tüm anahtarları iptal etmelerini istedik" diye tweet attı.
3Commas, daha fazla yorum talebine yanıt vermedi. azalmak.
Kripto haberlerinden haberdar olun, gelen kutunuzda günlük güncellemeler alın.
Source: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
