幣安首席執行官趙長鵬(CZ) 於12 月28 日警告他的800 萬推特粉絲,他“有理由確定”加密貨幣交易管理平台正在發生API 密鑰洩漏。
我有理由相信3Commas 存在廣泛的API 密鑰洩漏。如果你曾將API 密鑰放入3Commas(來自任何交易所),請立即禁用它。
停留 #SAFU.
— CZ 幣安(@cz_binance) 2022 年12 月28 日
CZ 的披露是在12 月9 日發生的一起事件之後發生的,當時幣安 取消了用戶的帳戶 誰抱怨一天前失去資金。該用戶聲稱,與3Commas 相關的洩露的API 密鑰被用於“對低價硬幣進行交易,以推高價格以獲利。” 幣安拒絕向用戶報銷。 CZ 在推特上表示,損失無法核實,如果該公司彌補此類損失,“我們只會為用戶丟失API 密鑰而付出代價。”
Mamba,我們幾乎沒有辦法確定用戶沒有竊取他們自己的API 密鑰。交易是使用您創建的API 密鑰完成的。否則我們只會為丟失API 密鑰的用戶付費。希望你能理解。
— CZ 幣安(@cz_binance) 2022 年12 月9 日
12 月11 日,3Commas CEO Yuriy Sorokin 在公司博客上聲稱 虛假的屏幕截圖在Twitter 和YouTube 上流傳,顯示該公司安全鬆懈,員工正在竊取API 密鑰。索羅金在對假貨的深入技術分析中否認了這些指控:
“創建屏幕截圖的人使用HTML 編輯器做得很好,但他們犯了一些關鍵錯誤,很容易證明他們的說法是假的。 我們將逐點討論這些。”
10 月下旬,安全問題首次出現在3Commas。那時,功能尚存 FTX交易所發布安全警報 回應用戶關於在FTX 上使用DMG 硬幣進行未經授權交易的報告。 3Commas 和FTX 確定黑客創建了3Commas 賬戶來執行交易。然而,根據3Commas 博客,“API 密鑰不是從3Commas 獲取的,而是從3Commas 平台外部獲取的。”
有關的: Binance 如何通過負責任的交易計劃保護其用戶
在以後 博文索羅金承認,“我們有確鑿的證據表明網絡釣魚至少在某種程度上是導致用戶流失的一個因素”。
與此同時,一位Twitter 用戶聲稱3Commas 的所有API 密鑰都已洩露。
變壓吸附
3Commas API 洩漏已發布,如果您還沒有刪除您的API 密鑰 pic.twitter.com/yEvrxyWBIq
— 數據庫(@tier10k) 2022 年12 月28 日
現在,索羅金已經確認洩密,並補充說沒有發現洩密是內部工作的證據。
1. 3Commas聲明:
我們看到了黑客的信息,可以確認文件中的數據是真實的。我們已立即採取行動,要求幣安、Kucoin 和其他受支持的交易所撤銷所有連接到3Commas 的密鑰。
— 尤里·索羅金(@YS_3Commas) 2022 年12 月28 日