Los primeros indicios de problemas comenzaron a gestarse en octubre. En ese momento, se acusó a 3Commas de filtrar claves API que permitieron a los malos actores tomar el control de las API vendidas a los usuarios finales, con consecuencias desastrosas.
Una plataforma de negociación automatizada, 3Commas proporciona a los clientes una API que luego pueden conectar a las plataformas de intercambio para permitir que el bot realice transacciones en una fracción de segundo cuando se ve una oportunidad de obtener ganancias.
Si se interceptara la clave utilizada para conectar la API a la plataforma, permitiría a un mal actor secuestrar la cuenta de intercambio de cifrado del usuario final sin necesidad de la contraseña, el correo electrónico, etc. del comerciante.
- En octubre, se robaron alrededor de $6 millones de dólares de las cuentas de FTX a través de la API de 3Commas. FTX, que en ese momento era supuestamente solvente, tomó la decisión de reembolsar a los usuarios, a pesar de que estos fondos en particular fueron robados por causas ajenas a FTX.
- Sin embargo, SBF también enfatizó que el reembolso fue una excepción única.
- Poco más de un mes después, ocurrió un incidente similar, esta vez en Binance.
- El intercambio se negó a reembolsar al usuario, y CZ afirmó que no había forma de determinar la buena fe por parte del usuario.
- Además, incluso si el usuario estaba seguro de haber actuado de buena fe, esto no habría sido necesariamente una falla por parte de Binance, ya que el phishing podría haber ocurrido fuera de la plataforma por completo. Casi tres semanas después, CZ volvió a Twitter y aconsejó a los usuarios deshabilitar cualquier clave API de 3Commas en Binance, ya que tenía razones para creer que las claves estaban comprometidas en masa.
- El tuit hizo sonar las alarmas en toda la comunidad y, menos de un día después, Yuriy Sorokin, director ejecutivo y fundador de 3Commas, admitió que las claves filtradas, de hecho, procedían de 3Commas.
- Sin embargo, según Sorokin, no hay pruebas de que haya sido un trabajo interno.
“Hicimos todo lo que pudimos para investigar un trabajo interno, ya que siempre fue un escenario posible y estaba en nuestra lista de vigilancia, pero no se encontraron pruebas de un trabajo interno. Solo un pequeño número de empleados técnicos tenía acceso a la infraestructura y hemos tomado medidas desde el 19 de noviembre para quitarles el acceso”.
- Esto contrasta marcadamente con las declaraciones hechas dos semanas antes, donde Sorokin acusó a las víctimas de falsificar pruebas y afirmó que 3Commas no tiene la culpa en lo más mínimo.
- Es comprensible que la debacle haya vuelto a poner en pie de guerra a los comerciantes, y muchos esperan que se arroje más luz sobre la situación y, con suerte, algunos reembolsos.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/3commas-admits-apis-were-leaked-contrary-to-prior-statements/