Un grupo de comerciantes dijo la semana pasada que Se robaron USD 22 millones en criptomonedas a través de claves API comprometidas de la plataforma comercial 3Commas. El miércoles, 3Commas admitió que fue la fuente de esa fuga de API.
El anuncio se produjo después de que un usuario anónimo de Twitter obtuviera alrededor de 100,000 claves API pertenecientes a usuarios de 3Commas y las publicara en línea.
3Commas había insistido inicialmente en que no había ningún problema de seguridad en su extremo, y el cofundador Yuriy Sorokin sugirieron repetidamente en Twitter que un ataque de phishing hizo que los usuarios entregaran sus datos.
Pero el miércoles, Sorokin tuiteó: "Vimos el mensaje del pirata informático y podemos confirmar que los datos en los archivos son ciertos... Lamentamos que esto haya llegado tan lejos y continuaremos siendo transparentes en nuestras comunicaciones sobre la situación".
3Commas es una plataforma que permite a los usuarios vincular varias cuentas de intercambio de criptomonedas, como las que se mantienen en Binance, a un software de comercio automatizado. Todo esto se hace a través de API (interfaces de programación de aplicaciones), los mecanismos estandarizados que permiten que los componentes de software separados se comuniquen entre sí y realicen tareas. La idea es que los humanos no tengan que hacer el arduo trabajo de pensar en sus oficios. En cambio, todo se hace de forma instantánea y automática a través de un código.
Hasta que las personas equivocadas obtengan acceso a las API.
detective de la cadena de bloques @ZachXBT dijo anteriormente en Twitter que había verificado un grupo de 44 víctimas que perdieron un total de $ 14.8 millones a través de claves API robadas de 3Commas.
En respuesta, Sorokin tuiteó que "si eres una víctima, significa que de alguna manera se filtraron tus claves", pero "no de 3Commas". Si las claves API filtradas hubieran sido de 3Commas, “habría visto millones de casos, no cien”, razonó.
En un hilo separado, criticó la "incompetencia de las grandes fuentes de los medios" y cuestionó la validez de una hoja de cálculo de cuentas comprometidas de colaboración colectiva. “Preste atención a que la mayoría de los usuarios que informaron pérdidas ni siquiera abrieron un ticket de soporte con el intercambio y no fueron a la policía”, tuiteó Sorokin. "¿Cómo se verificó esta información?"
otra vez el afirmado que hubo muy pocos incidentes para que haya sido un exploit de 3Commas. “Hay más de 1 [millón] de llaves conectadas a 3Commas, con ~100 usuarios reportando problemas con sus cuentas”, tuiteó Sorokin.. "¿Por qué sucedería eso si [la base de datos] se filtró?"
Hoy, un ZachXBT reivindicado tuiteó que "durante semanas [3Commas] ha estado culpando a sus usuarios y aceptando cero responsabilidad".
“Seguiste mintiendo y diciendo que esto fue culpa nuestra en lugar de asumir la responsabilidad y evitar más hazañas”, agregó. @CoinMamba, otro usuario de 3Commas que dijo que perdió fondos. "¿Vas a reembolsar a los usuarios ahora?"
Esta no es la primera vez que 3Commas y su manejo de API están bajo escrutinio. Aproximadamente un mes antes de que FTX se declarara en quiebra, Sam Bankman-Fried acordó reembolsar $6 millones a los clientes afectados por lo que se describió como un estafa de phishing involucrando 3 comas.
El miércoles, el CEO de Binance, Changpeng Zhao, tuiteó que estaba "razonablemente seguro" de que había "fugas generalizadas de claves API" de 3Commas.
CZ agregó que los usuarios deben deshabilitar sus claves API en 3Commas. Esto es lo que ahora también recomienda 3Commas.
“Como acción inmediata, hemos pedido que Binance, Kucoin y otros intercambios admitidos revoquen todas las claves que estaban conectadas a 3Commas”, tuiteó Sorokin.
3Commas no ha respondido a una solicitud de más comentarios de Descifrar.
Manténgase al tanto de las noticias criptográficas, obtenga actualizaciones diarias en su bandeja de entrada.
Fuente: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
