一段時間以來,3Commas 用戶一直在社交媒體上發布可能導致其API 密鑰洩露的漏洞。在大多數情況下,這導致用戶的交易賬戶出現未經授權和異常的交易模式,以拉高和拋售代幣。 3Commas 迄今否認了所有稱不存在違規行為的謠言,但現在有了無可辯駁的證據,加密貨幣交易平台首次承擔了責任。
它是如何開始的
流行的鏈上偵探 ZachXBT 在他的Twitter 賬戶上分享了一些該死的證據 已與他分享。在與他超過340,000 名追隨者分享的屏幕截圖中,有人聲稱可以訪問從3Commas 洩露的超過100,000 個API 密鑰,他最終與Zach 分享了這些密鑰。
Zach 解釋說,他已經通過檢查API 密鑰和為3Commas API 密鑰洩露的人創建的小組中的多個人繼續驗證這些聲明的真實性。 確認的 他們的密鑰實際上在與Zach 共享的數據庫中。
在後續推文中,扎克發布了一封信,發件人稱之為“遲到的聖誕禮物”,他們在信中聲稱沒有違規行為。相反,這些信息是由3Commas 團隊的員工賣給他們的。
一個更令人震驚的發現是這個人或一群人聲稱擁有更多的API 密鑰。顯然,他們計劃公開發布超過100,000 個API 密鑰的完整數據庫。值得慶幸的是,他們計劃從數據庫中刪除任何個人信息或身份信息,以保護人們。
2 / 我不會傳播數據庫,因為一些密鑰可能仍然處於活動狀態,但這是帳戶在帖子中不得不說的關於洩漏的內容:
不幸的是,他們似乎很快就會發布3Commas 用戶的完整數據庫。 pic.twitter.com/XSf6GslXZ8
— ZachXBT (@zachxbt) 2022 年12 月28 日
3Commas 終於承認洩漏
鑑於ZachXBT帖提供的曝光,3Commas團隊第一時間對此次數據洩露承擔責任。創始人兼首席執行官尤里·索羅金(Yuriy Sorokin) 在推特上承認了這些說法的真實性。首席執行官解釋說,他們一直在調查一項內部工作,但無法確定洩密事件來自一名員工。
1. 3Commas聲明:
我們看到了黑客的信息,可以確認文件中的數據是真實的。我們已立即採取行動,要求幣安、Kucoin 和其他受支持的交易所撤銷所有連接到3Commas 的密鑰。
— 尤里·索羅金(@YS_3Commas) 2022 年12 月28 日
有趣的是,索羅金 解釋 少數有權訪問數據的技術員工在11 月19 日被剝奪了訪問權限,這意味著他們至少在一個月前就知道洩露事件。但3Commas 繼續對用戶進行攻擊,指責他們陷入網絡釣魚詐騙,並要求他們在問題一直來自他們時去交易所。
Tota market cap remains below $1 trillion | Source: Crypto Total Market Cap on TradingView.com
“3Commas 終於承認洩漏,但損害已經造成。 數週以來,他們一直在指責其用戶並接受零責任,”ZachXBT 說。確保永遠不要給無能的小丑喜歡 @3commas_io 再次為您服務。 ”
已建議客戶和交易所撤銷連接到3Commas 平台的所有API 密鑰。對於3Commas,Sorokin 表示:“我們已經實施了新的安全措施,不會就此止步; 我們正在展開涉及執法部門的全面調查。”
特色圖片來自Discover Magazine,圖表來自TradingView.com