გასულ კვირას მოვაჭრეების ჯგუფმა განაცხადა 22 მილიონი დოლარის ღირებულების კრიპტოვალუტა მოიპარეს სავაჭრო პლატფორმიდან 3Commas კომპრომეტირებული API კლავიშების მეშვეობით. ოთხშაბათს, 3Commas-მა აღიარა, რომ ეს იყო ამ API გაჟონვის წყარო.
განცხადება მას შემდეგ გაკეთდა, რაც Twitter-ის ანონიმურმა მომხმარებელმა მოიპოვა 100,000Commas-ის მომხმარებლების 3 XNUMX API გასაღები და გამოაქვეყნა ონლაინში.
3მძიმე თავდაპირველად ამტკიცებდა, რომ მის ბოლოში უსაფრთხოების პრობლემა არ იყო, და თანადამფუძნებელმა იური სოროკინმა არაერთხელ შესთავაზა Twitter-ზე, რომ ფიშინგმა შეტევამ გამოიწვია მომხმარებლების მიერ მათი მონაცემების დათმობა.
მაგრამ ოთხშაბათს სოროკინმა ტვიტერზე დაწერა: ”ჩვენ ვნახეთ ჰაკერის შეტყობინება და შეგვიძლია დავადასტუროთ, რომ ფაილებში არსებული მონაცემები სიმართლეა… ჩვენ ვწუხვართ, რომ ეს აქამდე მივიდა და გავაგრძელებთ გამჭვირვალობას ჩვენს კომუნიკაციაში სიტუაციის გარშემო.”
3Commas არის პლატფორმა, რომელიც მომხმარებლებს საშუალებას აძლევს დააკავშირონ მრავალი კრიპტო ბირჟის ანგარიში, როგორიცაა Binance-ში შენახული, ავტომატიზირებულ სავაჭრო პროგრამულ უზრუნველყოფას. ეს ყველაფერი კეთდება API-ების (აპლიკაციის პროგრამირების ინტერფეისების) საშუალებით, სტანდარტიზებული მექანიზმებით, რომლებიც საშუალებას აძლევს ცალკეულ პროგრამულ კომპონენტებს დაუკავშირდნენ ერთმანეთს და შეასრულონ დავალებები. იდეა იმაში მდგომარეობს, რომ ადამიანებს არ უწევთ შრომისმოყვარეობა თავიანთი ვაჭრობის შესახებ ფიქრით. ამის ნაცვლად, ეს ყველაფერი კეთდება მყისიერად და ავტომატურად კოდის საშუალებით.
სანამ არასწორი ადამიანები არ მიიღებენ წვდომას API-ებზე.
ბლოკჩეინის სლეუტი @ZachXBT ადრე თქვა Twitter-ზე, რომ მან გადაამოწმა 44 მსხვერპლისგან შემდგარი ჯგუფი, რომლებმაც დაკარგეს 14.8 მილიონი დოლარი 3Commas-დან მოპარული API კლავიშების მეშვეობით.
ამის საპასუხოდ სოროკინმა დაწერა ტვიტერზე, რომ „თუ მსხვერპლი ხარ, ეს ნიშნავს, რომ რატომღაც შენი გასაღებები გაჟონა“, მაგრამ „არა 3მძიმიდან“. გაჟონილი API გასაღებები რომ ყოფილიყო 3Commas-დან, ”თქვენ ნახავთ მილიონობით შემთხვევას და არა ასს”, - მსჯელობდა მან.
In ცალკე თემამან გააკრიტიკა „დიდი მედიის წყაროების არაკომპეტენტურობა“ და ეჭვქვეშ დააყენა კომპრომეტირებული ანგარიშების ხალხმრავალი ცხრილების მართებულობა. „ყურადღება მიაქციეთ, რომ მომხმარებელთა უმეტესობამ, ვინც ზარალს აფიქსირებს, არც კი გახსნა მხარდაჭერის ბილეთი ბირჟაზე და არ წასულა პოლიციაში“, - დაწერა სოროკინმა ტვიტერზე. "როგორ დადასტურდა ეს ინფორმაცია?"
ისევ ის ამტკიცებდა რომ ძალიან ცოტა ინციდენტი იყო იმისთვის, რომ ის ყოფილიყო 3მძიმის ექსპლუატაცია. „1 [მილიონ]-ზე მეტი გასაღები დაკავშირებულია 3Commas-თან, ~ 100 მომხმარებელი აფიქსირებს პრობლემებს თავის ანგარიშებთან დაკავშირებით“, - დაწერა სოროკინმა ტვიტერზე.. "რატომ მოხდებოდა ეს, თუ [მონაცემთა ბაზა] გაჟონა?"
დღეს, გამართლებულმა ZachXBT-მა დაწერა ტვიტერზე, რომ „კვირების განმავლობაში [3Commas] ადანაშაულებს თავის მომხმარებლებს და არ იღებს პასუხისმგებლობას“.
”თქვენ აგრძელებდით ტყუილს და ამბობდით, რომ ეს ჩვენი ბრალი იყო, ნაცვლად პასუხისმგებლობის აღების და თავიდან აიცილეთ შემდგომი ექსპლუატაციები”, - დასძინა @CoinMamba, 3Commas-ის კიდევ ერთი მომხმარებელი, რომელმაც თქვა, რომ დაკარგა სახსრები. "ახლა აპირებთ მომხმარებლებისთვის თანხის დაბრუნებას?"
ეს არ არის პირველი შემთხვევა, როდესაც 3Commas და მისი API დამუშავება მოექცა ყურადღების ცენტრში. FTX-ის გაკოტრებამდე დაახლოებით ერთი თვით ადრე, სემ ბანკმენ-ფრიდი დათანხმდა 6 მილიონი დოლარის დაბრუნებას კლიენტებს, რომლებიც დაზარალდნენ, როგორც აღწერილი იყო ფიშინგის თაღლითობა მოიცავს 3 მძიმით.
ოთხშაბათს, Binance-ის აღმასრულებელმა დირექტორმა ჩანგპენგ ჟაომ დაწერა ტვიტერზე, რომ ის იყო „გონივრული დარწმუნებული“ იყო „ფართოდ გავრცელებული API გასაღების გაჟონვა“ 3Commas-დან.
CZ-მ დაამატა, რომ მომხმარებლებმა უნდა გამორთონ API კლავიშები 3Commas-ში. ეს არის ის, რასაც 3Commas ახლა ასევე გირჩევთ.
„როგორც დაუყოვნებელი ქმედება, ჩვენ ვთხოვეთ, რომ Binance, Kucoin და სხვა მხარდაჭერილი ბირჟები გააუქმონ ყველა გასაღები, რომელიც დაკავშირებული იყო 3Commas-თან“, - დაწერა სოროკინმა.
3Commas-მა არ უპასუხა დამატებითი კომენტარის მოთხოვნას გაშიფვრა.
ადევნეთ თვალი კრიპტო სიახლეებს, მიიღეთ ყოველდღიური განახლებები თქვენს შემოსულებში.
წყარო: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
