Das sagte eine Gruppe von Händlern letzte Woche Krypto im Wert von 22 Millionen Dollar wurde gestohlen durch kompromittierte API-Schlüssel der Handelsplattform 3Commas. Am Mittwoch gab 3Commas zu, dass es die Quelle dieses API-Lecks war.
Die Ankündigung erfolgte, nachdem ein anonymer Twitter-Benutzer rund 100,000 API-Schlüssel von 3Commas-Benutzern erhalten und online veröffentlicht hatte.
3Commas hatte ursprünglich darauf bestanden, dass es an seinem Ende kein Sicherheitsproblem gebe, und Mitbegründer Yuriy Sorokin deuteten auf Twitter wiederholt an, dass ein Phishing-Angriff dazu geführt habe, dass Nutzer ihre Daten preisgegeben hätten.
Aber am Mittwoch twitterte Sorokin: „Wir haben die Nachricht des Hackers gesehen und können bestätigen, dass die Daten in den Dateien wahr sind … Es tut uns leid, dass dies so weit gekommen ist, und wir werden in unserer Kommunikation über die Situation weiterhin transparent sein.“
3Commas ist eine Plattform, die es Benutzern ermöglicht, mehrere Krypto-Börsenkonten – wie die auf Binance geführten – mit automatisierter Handelssoftware zu verknüpfen. All dies geschieht über APIs (Application Programming Interfaces), die standardisierten Mechanismen, die es separaten Softwarekomponenten ermöglichen, miteinander zu kommunizieren und Aufgaben auszuführen. Die Idee ist, dass Menschen nicht die harte Arbeit leisten müssen, über ihre Geschäfte nachzudenken. Stattdessen wird alles sofort und automatisch per Code erledigt.
Bis die falschen Leute Zugriff auf die APIs erhalten.
Blockchain-Ermittler @ZachXBT sagte zuvor auf Twitter, dass er eine Gruppe von 44 Opfern verifiziert habe, die insgesamt 14.8 Millionen Dollar durch von 3Commas gestohlene API-Schlüssel verloren hätten.
Als Antwort twitterte Sorokin: „Wenn Sie ein Opfer sind, bedeutet das, dass Ihre Schlüssel irgendwie durchgesickert sind“, aber „nicht von 3Commas“. Wenn die durchgesickerten API-Schlüssel von 3Commas stammten, „hätten Sie Millionen von Fällen gesehen, nicht hundert“, argumentierte er.
In einer separater Thread, hat er „Inkompetenz von großen Medienquellen“ gesprengt und die Gültigkeit einer Crowdsourcing-Tabelle mit kompromittierten Konten in Frage gestellt. „Beachten Sie, dass die Mehrheit der Benutzer, die Verluste melden, nicht einmal ein Support-Ticket bei der Börse eröffnet und nicht zur Polizei gegangen ist“, twitterte Sorokin. „Wie wurden diese Informationen überprüft?“
Wieder er behauptet dass es zu wenige Vorfälle gab, als dass es sich um einen 3Commas-Exploit handeln könnte. „Es gibt über 1 [Million] Schlüssel, die mit 3Commas verbunden sind, wobei ~100 Benutzer Probleme mit ihren Konten melden“, twitterte Sorokin. „Warum sollte das passieren, wenn [Datenbank] durchgesickert wäre?“
Heute hat ein bestätigter ZachXBT getwittert, dass „[3Commas] seit Wochen seinen Benutzern die Schuld geben und keinerlei Verantwortung übernehmen“.
„Sie haben weiter gelogen und gesagt, dass dies unsere Schuld war, anstatt Verantwortung zu übernehmen und weitere Exploits verhindert zu haben“, fügte er hinzu @CoinMamba, ein weiterer 3Commas-Benutzer, der sagte, er habe Geld verloren. „Wirst du den Benutzern jetzt das Geld zurückerstatten?“
Dies ist nicht das erste Mal, dass 3Commas und sein API-Handling unter die Lupe genommen wurden. Ungefähr einen Monat bevor FTX Konkurs anmeldete, erklärte sich Sam Bankman-Fried bereit, 6 Millionen US-Dollar an Kunden zurückzuerstatten, die von dem, was als a beschrieben wurde, betroffen waren Phishing-Betrug mit 3Commas.
Am Mittwoch twitterte Binance-CEO Changpeng Zhao, er sei „ziemlich sicher“, dass es „weit verbreitete API-Schlüssellecks“ von 3Commas gebe.
CZ fügte hinzu, dass Benutzer ihre API-Schlüssel in 3Commas deaktivieren sollten. Das empfiehlt jetzt auch 3Commas.
„Als sofortige Maßnahme haben wir darum gebeten, dass Binance, Kucoin und andere unterstützte Börsen alle Schlüssel widerrufen, die mit 3Commas verbunden waren“, twitterte Sorokin.
3Commas hat auf eine Bitte um weitere Stellungnahme von nicht geantwortet Entschlüsseln.
Bleiben Sie über Krypto-News auf dem Laufenden und erhalten Sie tägliche Updates in Ihrem Posteingang.
Quelle: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
