Szef giełdy kryptowalutowej Binance, Changpeng Zhao, ostrzegł o wycieku kluczy API użytkowników algorytmicznej platformy handlu aktywami cyfrowymi 3Commas.
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
— CZ 🔶 Binance (@cz_binance) December 28, 2022
Stay #SAFU.
"Jestem dość pewien, że wycieki kluczy API z 3Commas są powszechne. Jeśli kiedykolwiek dostarczyłeś [platformie] klucz API (z jakiejkolwiek giełdy), proszę natychmiast go wyłączyć".
Zhao podkreślił, że Binance nie może samodzielnie wyłączyć kluczy, ponieważ zespół "nie wie, jakie API użytkownicy udostępnili innym platformom."
Według doniesień w sieci, haker opublikował już część zrzutu bazy danych 3Commas z wrażliwymi informacjami klientów Binance i KuCoin.
PSA
— db (@tier10k) December 28, 2022
3Commas API leak has been published, if you haven't already REMOVE YOUR API KEY pic.twitter.com/yEvrxyWBIq
Jak podaje CoinDesk, napastnik dostał w swoje ręce około 100 tysięcy kluczy API. 10 tys. z nich zamieścił w domenie publicznej i obiecał, że resztę opublikuje "w najbliższych dniach".
Firma 3Commas potwierdziła wyciek. Stwierdziła, że dane ujawnione przez hakera są "prawdziwe".
2) We did everything we could to investigate an inside job, as it was always a possible scenario and on our watch list, but no evidence of an inside job was found.
— 3Commas (@3commas_io) December 28, 2022
"Widzieliśmy komunikat hakera i możemy potwierdzić, że dane w plikach są poprawne. Jako natychmiastowe działanie, zwróciliśmy się do Binance, KuCoin i innych wspieranych giełd, aby cofnąć klucze, które były połączone z 3Commas".
Firma powiedziała, że zbadała potencjalne działania insiderów, ale nie znalazła na to potwierdzenia. Dostęp do infrastruktury miała "ograniczona liczba pracowników" - wynika z oświadczenia. Od 19 listopada 3Commas rutynowo cofa im pozwolenia.
Zespół platformy wyjaśnił, że do wycieku doszło przed 16 listopada. Po tej dacie klucze API były "niezagrożone". W sprawie zdarzenia wezmą udział organy ścigania.
W październiku 2022 roku 3Commas i FTX wspólnie ogłosiły narażenie na szwank szeregu kluczy API, które następnie zostały wykorzystane do przeprowadzenia nieautoryzowanych transakcji tokenami DMM Governance (DMG).
Dla przypomnienia, doniesienia o wycieku danych użytkowników pojawiły się w sieci ponownie w grudniu. Firma zdementowała te informacje, nazywając je celowym atakiem.