3Commas ammette che è stata la fonte della perdita di API che ha portato agli hack

Lo ha detto un gruppo di trader la scorsa settimana Erano stati rubati 22 milioni di dollari di criptovalute tramite chiavi API compromesse dalla piattaforma di trading 3Commas. Mercoledì, 3Commas ha ammesso che era la fonte di quella fuga di API.

L'annuncio è arrivato dopo che un utente anonimo di Twitter ha ottenuto circa 100,000 chiavi API appartenenti agli utenti di 3Commas e le ha pubblicate online. 

3Commas aveva inizialmente insistito sul fatto che non ci fossero problemi di sicurezza alla finee il co-fondatore Yuriy Sorokin ha ripetutamente suggerito su Twitter che un attacco di phishing ha indotto gli utenti a rinunciare ai propri dati. 

Ma mercoledì, Sorokin ha twittato: "Abbiamo visto il messaggio dell'hacker e possiamo confermare che i dati nei file sono veri... Siamo spiacenti che questo sia arrivato così lontano e continueremo a essere trasparenti nelle nostre comunicazioni sulla situazione".

3Commas è una piattaforma che consente agli utenti di collegare più account di scambio di criptovalute, come quelli tenuti su Binance, a un software di trading automatizzato. Tutto questo viene fatto tramite API (application programming interface), i meccanismi standardizzati che consentono a componenti software separati di comunicare tra loro ed eseguire attività. L'idea è che gli umani non debbano fare il duro lavoro di pensare ai loro mestieri. Invece, è tutto fatto istantaneamente e automaticamente tramite codice. 

Fino a quando le persone sbagliate non avranno accesso alle API.

Detective della blockchain @ZachXBT precedentemente ha detto su Twitter di aver verificato un gruppo di 44 vittime che hanno perso un totale di 14.8 milioni di dollari a causa delle chiavi API rubate a 3Commas.

In risposta, Sorokin ha twittato che "Se sei una vittima, significa che in qualche modo le tue chiavi sono trapelate", ma "non da 3Commas". Se le chiavi API trapelate fossero state di 3Commas, "avresti visto milioni di casi, non cento", ha ragionato.

In un filo separato, ha denunciato "l'incompetenza delle grandi fonti dei media" e ha messo in dubbio la validità di un foglio di calcolo basato sul crowdsourcing di account compromessi. "Fai attenzione che la maggior parte degli utenti che hanno segnalato perdite non ha nemmeno aperto un ticket di supporto con l'exchange e non è andata alla polizia", ​​ha twittato Sorokin. "Come sono state verificate queste informazioni?"

Di nuovo lui asserito che ci sono stati troppo pochi incidenti perché si trattasse di un exploit di 3Commas. "Ci sono oltre 1 [milione] di chiavi collegate a 3Commas, con circa 100 utenti che segnalano problemi con i loro account", ha twittato Sorokin. "Perché dovrebbe accadere se [il database] fosse trapelato?"

Oggi, un rivendicato ZachXBT ha twittato che "per settimane [3Commas] ha incolpato i suoi utenti e non ha accettato alcuna responsabilità". 

"Hai continuato a mentire e dire che era colpa nostra invece di assumerti la responsabilità e prevenire ulteriori exploit", ha aggiunto @CoinMamba, un altro utente di 3Commas che ha affermato di aver perso fondi. "Adesso rimborserai gli utenti?"

Questa non è la prima volta che 3Commas e la sua gestione delle API vengono esaminati. Circa un mese prima che FTX dichiarasse bancarotta, Sam Bankman-Fried ha accettato di rimborsare 6 milioni di dollari ai clienti interessati da quello che è stato descritto come un phishing truffa coinvolgendo 3 virgole.

Mercoledì, il CEO di Binance Changpeng Zhao ha twittato di essere "ragionevolmente sicuro" che ci fossero "fughe di chiavi API diffuse" da 3Commas. 

CZ ha aggiunto che gli utenti dovrebbero disabilitare le loro chiavi API in 3Commas. Questo è ciò che ora raccomanda anche 3Commas.

"Come azione immediata, abbiamo chiesto a Binance, Kucoin e altri exchange supportati di revocare tutte le chiavi che erano collegate a 3Commas", ha twittato Sorokin.

3Commas non ha risposto alla richiesta di ulteriori commenti di decrypt.