一段時間以來,3Commas 用戶一直在社交媒體上發布可能導致其 API 密鑰洩露的漏洞。 在大多數情況下,這導致用戶的交易賬戶出現未經授權和異常的交易模式,以拉高和拋售代幣。 3Commas 迄今否認了所有稱不存在違規行為的謠言,但現在有了無可辯駁的證據,加密貨幣交易平台首次承擔了責任。
它是如何開始的
流行的鏈上偵探 ZachXBT 在他的 Twitter 賬戶上分享了一些該死的證據 已與他分享。 在與他超過 340,000 名追隨者分享的屏幕截圖中,有人聲稱可以訪問從 100,000Commas 洩露的超過 3 個 API 密鑰,他最終與 Zach 分享了這些密鑰。
Zach 解釋說,他已經通過檢查 API 密鑰和為 3Commas API 密鑰洩露的人創建的小組中的多個人繼續驗證這些聲明的真實性。 確認 他們的密鑰實際上在與 Zach 共享的數據庫中。
在後續推文中,扎克發布了一封信,發件人稱之為“遲到的聖誕禮物”,他們在信中聲稱沒有違規行為。 相反,這些信息是由 3Commas 團隊的員工賣給他們的。
一個更令人震驚的發現是這個人或一群人聲稱擁有更多的 API 密鑰。 顯然,他們計劃公開發布超過 100,000 個 API 密鑰的完整數據庫。 值得慶幸的是,他們計劃從數據庫中刪除任何個人信息或身份信息,以保護人們。
2 / 我不會傳播數據庫,因為一些密鑰可能仍然處於活動狀態,但這是帳戶在帖子中不得不說的關於洩漏的內容:
不幸的是,他們似乎很快就會發布 3Commas 用戶的完整數據庫。 pic.twitter.com/XSf6GslXZ8
— ZachXBT (@zachxbt) 2022 年 12 月 28 日
3Commas 終於承認洩漏
鑑於ZachXBT帖提供的曝光,3Commas團隊第一時間對此次數據洩露承擔責任。 創始人兼首席執行官尤里·索羅金 (Yuriy Sorokin) 在推特上承認了這些說法的真實性。 首席執行官解釋說,他們一直在調查一項內部工作,但無法確定洩密事件來自一名員工。
1. 3Commas聲明:
我們看到了黑客的信息,可以確認文件中的數據是真實的。 我們已立即採取行動,要求幣安、Kucoin 和其他受支持的交易所撤銷所有連接到 3Commas 的密鑰。
— 尤里·索羅金 (@YS_3Commas) 2022 年 12 月 28 日
有趣的是,索羅金 解釋 少數有權訪問數據的技術員工在 19 月 3 日被剝奪了訪問權限,這意味著他們至少在一個月前就知道洩露事件。 但 XNUMXCommas 繼續對用戶進行攻擊,指責他們陷入網絡釣魚詐騙,並要求他們在問題一直來自他們時去交易所。
總市值仍低於 1 萬億美元 | 資源: TradingView.com 上的加密貨幣總市值
“3Commas 終於承認洩漏,但損害已經造成。 數週以來,他們一直在指責其用戶並接受零責任,”ZachXBT 說。 確保永遠不要給無能的小丑喜歡 @3commas_io 再次為您服務。”
已建議客戶和交易所撤銷連接到 3Commas 平台的所有 API 密鑰。 對於 3Commas,Sorokin 表示:“我們已經實施了新的安全措施,不會就此止步; 我們正在展開涉及執法部門的全面調查。”
特色圖片來自 Discover Magazine,圖表來自 TradingView.com
來源:https://bitcoinist.com/3commas-leak-exposes-over-100000-apis-ceo-confirms/