Извршниот директор на Binance, Чангпенг Жао (CZ) ги предупреди своите 8 милиони следбеници на Твитер на 28 декември дека е „разумно сигурен“ дека протекување на клучеви на API се случуваат на платформата за управување со трговија со криптовалути.
Разумно сум сигурен дека има широко распространети протекувања на клучеви на API од 3Commas. Ако некогаш сте ставиле клуч API во 3Commas (од која било размена), ве молиме оневозможете го веднаш.
Останете # САФУ.
- CZ Binance (@cz_binance) Декември 28, 2022
Обелоденувањето од страна на CZ уследи по инцидентот на 9 декември, кога Binance откажана сметка на корисник кој ден претходно се пожалил на губење средства. Тој корисник тврдеше дека протечениот API-клуч врзан за 3Commas се користел „за да се тргува на монети со мала капа за да се зголеми цената за да се оствари профит“. Binance одби да му надомести на корисникот. CZ твитна дека загубата е непроверлива и ако компанијата ги надомести таквите загуби „ние само ќе плаќаме за корисниците да ги загубат своите API клучеви“.
Мамба, речиси и да нема начин да бидеме сигурни дека корисниците не ги украле сопствените клучеви на API. Заменувањата беа направени со користење на клучеви API што сте ги создале. Во спротивно, само ќе плаќаме за корисниците да ги изгубат своите API клучеви. Се надевам дека разбираш.
- CZ Binance (@cz_binance) Декември 9, 2022
На 11 декември, извршниот директор на 3Commas, Јуриј Сорокин се тврди на блогот на компанијата дека на Твитер и Јутјуб кружат лажни слики од екранот кои наводно покажуваат дека компанијата има слаба безбедност и дека вработените ги крадат клучевите на API. Сорокин ги негираше наводите во длабинска техничка анализа на сликите:
„Лицето кое ги креираше сликите од екранот направи добра работа со уредувачот на HTML, но направи неколку клучни грешки кои лесно докажуваат дека нивните тврдења се лажни. Ќе ги поминеме тие точка по точка“.
Безбедносните прашања првпат се појавија на 3запирка кон крајот на октомври. Во тоа време, сè уште функционалниот FTX размена издаде безбедносно предупредување како одговор на извештаите од корисници за неовластени занаети на трговски парови со монетата DMG на FTX. 3Commas и FTX утврдија дека хакерите создале сметки со 3Commas за да ги извршуваат занаетите. Сепак, според блогот 3Commas, „клучевите API не се земени од 3Commas туку од надвор од платформата 3Commas“.
Поврзани со: Како Binance ги штити своите корисници со одговорна програма за тргување
Во последователен блог пост, Сорокин призна дека „имаме цврсти докази дека фишингот барем во одреден дел придонесувал фактор“ во загубите на корисниците.
Во меѓувреме, корисник на Твитер обвини дека протекоа сите API клучеви на 3Commas.
PSA
Објавено е истекувањето на API на 3запирки, ако веќе не сте го ОТСТРАНИЛЕ ВАШИОТ КЛУЧ ЗА API pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) Декември 28, 2022
Сега, Сорокин го потврди истекувањето, додавајќи дека не е пронајден доказ дека истекувањето било внатрешна работа.
1. Изјава од 3запирки:
Ја видовме пораката на хакерот и можеме да потврдиме дека податоците во датотеките се вистинити. Како итна акција, побаравме Binance, Kucoin и другите поддржани размени да ги отповикаат сите клучеви што беа поврзани со 3Commas.
— Јуриј Сорокин (@YS_3Commas) Декември 28, 2022
Извор: https://cointelegraph.com/news/3commas-ceo-confirms-api-key-leak-following-warning-from-cz