Бұл туралы өткен аптада бір топ трейдерлер айтты 22 миллион долларлық крипто ұрланған 3Commas сауда платформасының бұзылған API кілттері арқылы. Сәрсенбіде 3Commas бұл API ағып кетуінің көзі екенін мойындады.
Хабарландыру анонимді Twitter пайдаланушысы 100,000Commas пайдаланушыларына тиесілі шамамен 3 XNUMX API кілтін алып, оны желіде жариялағаннан кейін келді.
3Үтір бастапқыда оның соңында қауіпсіздік мәселесі жоқ екенін айтты, және негізін қалаушы Юрий Сорокин Twitter-де фишингтік шабуыл қолданушылардың деректерінен бас тартуына себеп болғанын бірнеше рет ұсынды.
Бірақ сәрсенбіде Сорокин твиттерде: «Біз хакердің хабарламасын көрдік және файлдардағы деректердің рас екенін растай аламыз... Бұл осы уақытқа дейін жеткеніне өкінеміз және жағдайға байланысты біздің коммуникацияларымызда мөлдір болып қала бермекпіз».
3Commas – пайдаланушыларға Binance жүйесінде сақталғандар сияқты бірнеше криптовалюта айырбастау есептік жазбаларын автоматтандырылған сауда бағдарламалық құралына байланыстыруға мүмкіндік беретін платформа. Мұның бәрі API интерфейстері (қолданбалы бағдарламалау интерфейстері), бөлек бағдарламалық жасақтама құрамдастарына бір-бірімен байланысуға және тапсырмаларды орындауға мүмкіндік беретін стандартталған механизмдер арқылы жасалады. Бұл идея адамдарға өз кәсіптері туралы ойлаудың қиын жұмысын орындаудың қажеті жоқ. Оның орнына, бәрі бірден және автоматты түрде код арқылы жасалады.
Қате адамдар API интерфейстеріне қол жеткізбейінше.
Блокчейннің сарапшысы @ZachXBT Бұрын Twitter-де 44Commas-тан ұрланған API кілттері арқылы жалпы $14.8 миллион жоғалтқан 3 құрбанның тобын тексергенін айтқан.
Жауап ретінде Сорокин твиттерде: «Егер сіз құрбан болсаңыз, бұл сіздің кілттеріңіз қандай да бір жолмен ағып кеткенін білдіреді», бірақ «3Commas емес» деп жазды. Егер ағып кеткен API кілттері 3Commas болса, «сіз жүз емес, миллиондаған істерді көрер едіңіз», - деп ойлады ол.
Ішінде бөлек жіп, ол «үлкен медиа көздерінің қабілетсіздігін» жарып, бұзылған тіркелгілердің краудсорсингтік электрондық кестесінің дұрыстығына күмән келтірді. «Назар аударыңыз, шығын туралы хабарлаған пайдаланушылардың көпшілігі айырбаспен қолдау билетін ашпаған және полицияға бармаған», - деп жазды Сорокин Twitter-де. «Бұл ақпарат қалай тексерілді?»
Тағы ол деп мәлімдеді 3Үтір эксплойті болуы үшін тым аз оқиғалар болды. «1Commas-қа қосылған 3 [миллион] астам кілт бар, ~ 100 қолданушы тіркелгілеріне қатысты мәселелер туралы хабарлайды», - деп жазды Сорокин твиттерде. «Егер [деректер базасы] ағып кетсе, неге бұл болады?»
Бүгін ақталған ZachXBT Twitter-де «апталар бойы [3Commas] өз пайдаланушыларын кінәлап, нөлдік жауапкершілікті мойнына алды» деп жазды.
«Сіз өтірік айтып, жауапкершілікті өз мойныңызға алудың орнына бұл біздің кінәміз деп айта бердіңіз және одан әрі ерлікке жол бермедіңіз», - деп қосты. @CoinMamba, ақша жоғалтқанын айтқан тағы бір 3Commas қолданушысы. «Сіз қазір пайдаланушыларға ақшаны қайтарасыз ба?»
Бұл 3Commas және оның API өңдеуі бірінші рет тексеріліп жатқан жоқ. FTX банкрот деп танылғанға дейін шамамен бір ай бұрын Сэм Банкмен-Фрид 6 миллион долларды қайтаруға келісті. фишинг шпионы 3 үтірді қосады.
Сәрсенбіде Binance бас директоры Чанпэн Чжао твиттерде 3Commas-тан «кең таралған API кілттерінің ағып кетуі» бар екеніне «ақылға қонымды сенімді» деп жазды.
CZ пайдаланушылар API кілттерін 3Commas ішінде өшіру керек деп қосты. Бұл 3Commas енді ұсынатын нәрсе.
«Шұғыл әрекет ретінде біз Binance, Kucoin және басқа қолдау көрсетілетін биржалардан 3Commas-қа қосылған барлық кілттерді қайтарып алуды сұрадық», - деп жазды Сорокин твиттерде.
3Commas қосымша түсініктеме сұрауына жауап бермеді Шифрды шешіңіз.
Крипто жаңалықтарынан хабардар болыңыз, кіріс жәшігіңізде күнделікті жаңартуларды алыңыз.
Дереккөз: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
