3Commas 承認它是導致黑客攻擊的 API 洩漏的來源

一群交易員上週表示 價值 22 萬美元的加密貨幣被盜 通過來自交易平台 3Commas 的受損 API 密鑰。 週三，3Commas 承認它是 API 洩漏的源頭。

該公告是在一位匿名 Twitter 用戶獲得屬於 100,000Commas 用戶的大約 3 個 API 密鑰並在線發布之後發布的。 

3Commas 最初堅稱其端沒有安全問題，聯合創始人 Yuriy Sorokin 在 Twitter 上多次暗示，網絡釣魚攻擊導致用戶放棄了他們的數據。 

但在周三，索羅金在推特上寫道：“我們看到了黑客的信息，可以確認文件中的數據是真實的……我們很抱歉事已至此，我們將在圍繞這一情況的溝通中繼續保持透明。”

3Commas 是一個平台，可讓用戶將多個加密貨幣交易賬戶（例如 Binance 上的賬戶）鏈接到自動交易軟件。 這一切都是通過 API（應用程序編程接口）完成的，API 是使獨立的軟件組件能夠相互通信並執行任務的標準化機制。 這個想法是人類不必費心思考他們的交易。 相反，這一切都是通過代碼立即自動完成的。 

直到錯誤的人訪問 API。

區塊鏈偵探 @ZachXBT 此前在推特上表示，他已經驗證了一組 44 名受害者，他們通過從 14.8Commas 竊取的 API 密鑰損失了總計 3 萬美元。

作為回應，索羅金在推特上寫道：“如果你是受害者，那就意味著你的密鑰不知何故被洩露了”，但“不是來自 3Commas”。 如果洩露的 API 密鑰來自 3Commas，“你會看到數百萬個案例，而不是一百個，”他推斷道。

在 單獨的線程, 他抨擊“大媒體來源的無能”，並質疑眾包洩露賬戶電子表格的有效性。 “請注意，大多數報告損失的用戶甚至沒有向交易所開具支持票，也沒有去報警，”Sorokin 發推文說。 “這些信息是如何驗證的？”

又是他 斷言 事件太少，不可能是 3Commas 漏洞利用。 “有超過 1 [百萬] 個密鑰連接到 3Commas，約 100 名用戶報告了他們的帳戶問題，”Sorokin 發推文說. “如果 [數據庫] 洩露，為什麼會發生這種情況？”

今天，一個被證明是正確的 ZachXBT 發推文說“數週來 [3Commas] 一直在指責其用戶並接受零責任。” 

“你一直在撒謊，說這是我們的錯，而不是承擔責任並阻止進一步的攻擊，”補充說 @CoinMamba，另一位 3Commas 用戶說他失去了資金。 “你現在要給用戶退款嗎？”

這不是 3Commas 及其 API 處理第一次受到審查。 在 FTX 申請破產前大約一個月，Sam Bankman-Fried 同意向受到所謂的破產影響的客戶退還 6 萬美元。 釣魚詐騙 涉及3個逗號。

週三，幣安首席執行官趙長鵬在推特上表示，他“有理由確定”3Commas 存在“廣泛的 API 密鑰洩漏”。 

CZ 補充說，用戶應該在 3Commas 中禁用他們的 API 密鑰。 這也是 3Commas 現在推薦的。

“作為一項立即行動，我們已要求幣安、Kucoin 和其他受支持的交易所撤銷所有與 3Commas 相關的密鑰，”索羅金在推特上寫道。

3Commas 沒有回應進一步評論的請求 解碼.