گروهی از معامله گران هفته گذشته این را گفتند 22 میلیون دلار ارز دیجیتال به سرقت رفته بود از طریق کلیدهای API به خطر افتاده از پلت فرم معاملاتی 3Commas. روز چهارشنبه، 3Commas اعتراف کرد که منبع نشت API بوده است.
این اطلاعیه پس از آن منتشر شد که یک کاربر ناشناس توییتر حدود 100,000 کلید API متعلق به کاربران 3Commas را به دست آورد و آن را به صورت آنلاین منتشر کرد.
3Commas در ابتدا اصرار داشت که هیچ مشکل امنیتی در انتهای آن وجود نداردو یکی از بنیانگذاران یوری سوروکین بارها در توییتر پیشنهاد کرد که یک حمله فیشینگ باعث شده کاربران از داده های خود صرف نظر کنند.
اما روز چهارشنبه، سوروکین در توییتی نوشت: «ما پیام هکر را دیدیم و میتوانیم صحت دادههای موجود در فایلها را تأیید کنیم... متأسفیم که این موضوع تا این حد پیش رفته است و همچنان در ارتباطات خود در مورد وضعیت شفاف خواهد بود.»
3Commas پلتفرمی است که به کاربران امکان میدهد چندین حساب صرافی رمزنگاری (مانند آنهایی که در Binance نگهداری میشوند) را به نرمافزار معاملاتی خودکار پیوند دهند. همه این کارها از طریق APIها (واسط های برنامه نویسی کاربردی) انجام می شود، مکانیسم های استاندارد شده ای که اجزای نرم افزاری جداگانه را قادر می سازد با یکدیگر ارتباط برقرار کرده و وظایف را انجام دهند. ایده این است که انسان ها مجبور نیستند کار سخت فکر کردن در مورد تجارت خود را انجام دهند. در عوض، همه این کارها به صورت آنی و خودکار از طریق کد انجام می شود.
تا زمانی که افراد اشتباه به API ها دسترسی پیدا کنند.
کارگاه بلاک چین @ZachXBT قبلاً در توییتر گفته بود که گروهی متشکل از 44 قربانی را تأیید کرده است که در مجموع 14.8 میلیون دلار از طریق کلیدهای API به سرقت رفته از 3Commas از دست داده اند.
در پاسخ، سوروکین توییت کرد که "اگر قربانی هستید، پس به این معنی است که به نوعی کلیدهای شما لو رفته است" اما "نه از 3Commas". اگر کلیدهای API فاش شده از 3Commas بودند، "شما میلیون ها مورد را می دیدید، نه صدها."
در یک موضوع جدا، او "ناتوانی منابع رسانه ای بزرگ" را محکوم کرد و اعتبار صفحه گسترده جمع آوری شده از حساب های در معرض خطر را زیر سوال برد. سوروکین در توییتی نوشت: «توجه داشته باشید که اکثر کاربرانی که از ضرر گزارش میدهند، حتی یک بلیط پشتیبانی با صرافی باز نکردهاند و به پلیس مراجعه نکردهاند. "این اطلاعات چگونه تایید شد؟"
باز هم او ادعا کرد که اتفاقات بسیار کمی برای آن وجود دارد که یک سوء استفاده از 3Commas باشد. سوروکین در توییتر خود نوشت: «بیش از 1 [میلیون] کلید به 3Commas متصل است و 100 کاربر مشکلات مربوط به حساب های خود را گزارش می کنند.. اگر [پایگاه داده] فاش شود، چرا این اتفاق می افتد؟
امروز، یک ZachXBT موجه توئیت کرد که "برای هفتهها [3Commas] کاربران خود را مقصر میداند و مسئولیت صفر را نمیپذیرد."
شما مدام دروغ میگفتید و میگفتید این تقصیر ماست به جای مسئولیتپذیری و جلوگیری از سوء استفادههای بیشتر. @CoinMamba، یکی دیگر از کاربران 3Commas که گفت وجوه خود را از دست داده است. "آیا اکنون می خواهید به کاربران بازپرداخت کنید؟"
این اولین باری نیست که 3Commas و مدیریت API آن مورد بررسی قرار می گیرد. حدود یک ماه قبل از اعلام ورشکستگی FTX، سام بانکمن-فرید موافقت کرد که 6 میلیون دلار را به مشتریانی که تحت تأثیر آنچه که به عنوان کلاهبرداری فیشینگ شامل 3 ویرگول
روز چهارشنبه، Changpeng Zhao، مدیرعامل Binance در توییتی گفت که او "به طور منطقی مطمئن است" "نشت گسترده کلید API" از 3Commas وجود دارد.
CZ اضافه کرد که کاربران باید کلیدهای API خود را در 3Commas غیرفعال کنند. این همان چیزی است که 3Commas اکنون نیز توصیه می کند.
سوروکین در توییتی نوشت: «به عنوان یک اقدام فوری، ما از بایننس، کوکوین و سایر صرافیهای پشتیبانی شده درخواست کردهایم همه کلیدهایی را که به 3Commas متصل شدهاند، لغو کنند.
3Commas به درخواست نظر بیشتر از طرف پاسخ نداده است رمزگشایی کنید.
از اخبار ارزهای دیجیتال مطلع باشید، بهروزرسانیهای روزانه را در صندوق ورودی خود دریافت کنید.
منبع: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
