Sekelompok pedagang minggu lalu mengatakan itu Crypto senilai $22 juta telah dicuri melalui kunci API yang disusupi dari platform perdagangan 3Commas. Pada hari Rabu, 3Commas mengaku sebagai sumber kebocoran API tersebut.
Pengumuman itu muncul setelah pengguna Twitter anonim memperoleh sekitar 100,000 kunci API milik pengguna 3Commas dan menerbitkannya secara online.
3Commas awalnya bersikeras tidak ada masalah keamanan pada akhirnya, dan salah satu pendiri Yuriy Sorokin berulang kali menyarankan di Twitter bahwa serangan phishing menyebabkan pengguna menyerahkan data mereka.
Tetapi pada hari Rabu, Sorokin men-tweet: "Kami melihat pesan peretas dan dapat mengonfirmasi bahwa data dalam file itu benar ... Kami mohon maaf karena ini sudah sejauh ini dan akan terus transparan dalam komunikasi kami seputar situasi ini."
3Commas adalah platform yang memungkinkan pengguna menautkan beberapa akun pertukaran kripto—seperti yang disimpan di Binance—ke perangkat lunak perdagangan otomatis. Ini semua dilakukan melalui API (antarmuka pemrograman aplikasi), mekanisme standar yang memungkinkan komponen perangkat lunak terpisah untuk berkomunikasi satu sama lain dan melakukan tugas. Idenya adalah bahwa manusia tidak perlu melakukan kerja keras memikirkan perdagangan mereka. Sebaliknya, semuanya dilakukan secara instan dan otomatis melalui kode.
Sampai orang yang salah mendapatkan akses ke API.
Detektif blockchain @ZachXBT sebelumnya mengatakan di Twitter bahwa dia telah memverifikasi sekelompok 44 korban yang kehilangan total $14.8 juta melalui kunci API yang dicuri dari 3Commas.
Sebagai tanggapan, Sorokin men-tweet bahwa "Jika Anda adalah korban, maka itu berarti kunci Anda bocor", tetapi "bukan dari 3Commas". Jika kunci API yang bocor berasal dari 3Commas, "Anda akan melihat jutaan kasus, bukan seratus," alasannya.
Di sebuah utas terpisah, dia mengecam "ketidakmampuan dari sumber media besar" dan mempertanyakan validitas spreadsheet crowdsourced dari akun yang disusupi. "Perhatikan bahwa mayoritas pengguna yang melaporkan kerugian bahkan tidak membuka tiket dukungan dengan bursa, dan tidak melapor ke polisi," tweet Sorokin. “Bagaimana informasi ini diverifikasi?”
Sekali lagi dia ditegaskan bahwa ada terlalu sedikit insiden untuk menjadi eksploitasi 3Commas. “Ada lebih dari 1 [juta] kunci yang terhubung ke 3Commas, dengan ~100 pengguna melaporkan masalah dengan akun mereka,” tweet Sorokin.. “Mengapa itu terjadi jika [database] bocor?”
Hari ini, ZachXBT yang terbukti benar mentweet bahwa "selama berminggu-minggu [3Commas] telah menyalahkan penggunanya dan tidak menerima tanggung jawab."
“Anda terus berbohong dan mengatakan ini adalah kesalahan kami alih-alih bertanggung jawab dan mencegah eksploitasi lebih lanjut,” tambah @CoinMamba, pengguna 3Commas lain yang mengatakan dia kehilangan dana. "Apakah Anda akan mengembalikan uang pengguna sekarang?"
Ini bukan pertama kalinya 3Commas dan penanganan API-nya berada di bawah pengawasan. Sekitar sebulan sebelum FTX mengajukan kebangkrutan, Sam Bankman-Fried setuju untuk mengembalikan $6 juta kepada pelanggan yang terkena dampak dari apa yang digambarkan sebagai phishing penipuan melibatkan 3Commas.
Pada hari Rabu, CEO Binance Changpeng Zhao tweeted bahwa dia "cukup yakin" ada "kebocoran kunci API yang tersebar luas" dari 3Commas.
CZ menambahkan bahwa pengguna harus menonaktifkan kunci API mereka di 3Commas. Inilah yang sekarang direkomendasikan oleh 3Commas.
“Sebagai tindakan segera, kami telah meminta agar Binance, Kucoin, dan bursa lain yang didukung mencabut semua kunci yang terhubung ke 3Commas,” cuit Sorokin.
3Commas belum menanggapi permintaan komentar lebih lanjut dari Dekripsi.
Tetap di atas berita crypto, dapatkan pembaruan harian di kotak masuk Anda.
Sumber: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
