Dopo aver negato per due mesi una possibile fuga di dati dalla sua piattaforma, Yuriy Sorokin, CEO di 3Commas, ha finalmente ammesso che le chiavi API dei suoi clienti sono effettivamente compromesse. L’origine della violazione non è ancora stata chiarita al momento in cui scriviamo
3Commas API keys leaked
Yuriy Sorokin, il CEO di 3Commas, una piattaforma di trading automatizzato di criptovalute, ha finalmente ammesso che le chiavi API dei suoi utenti sono state effettivamente compromesse:
1. Dichiarazione di 3Commas:
Abbiamo visto il messaggio dell’hacker e possiamo confermare che i dati contenuti nei file sono veri. Come azione immediata, abbiamo chiesto che Binance, Kucoin e gli altri exchange supportati revochino tutte le chiavi che erano collegate a 3Commas.
– Yuriy Sorokin (@YS_3Commas) Dicembre 28, 2022
” Abbiamo visto il messaggio dell’hacker e possiamo confermare che i dati contenuti nei file sono veri. Come azione immediata, abbiamo chiesto a Binance, Kucoin e alle altre piattaforme di scambio supportate di revocare tutte le chiavi che erano collegate a 3Commas. “
Qui, Yuriy Sorokin si riferisce a un utente di Twitter che ha condiviso parte del database di 3Commas, che conteneva, tra l’altro, le chiavi API degli utenti della piattaforma.
Non sorprende che le reazioni alla dichiarazione del CEO di 3Commas siano state particolarmente vendicative. In effetti, sono passati circa 2 mesi da quando un numero crescente di utenti della piattaforma si è lamentato di azioni inspiegabili sui propri account e 3Commas continua a negare ogni responsabilità.
Sebbene il problema sia stato confermato, l’origine della violazione rimane un mistero, secondo Yuriy Sorokin:
Abbiamo fatto tutto il possibile per indagare su un lavoro dall’interno, perché è sempre stato uno scenario possibile ed era nella nostra lista di possibilità da tenere d’occhio, ma non è stato trovato. Solo un ristretto numero di tecnici aveva accesso all’infrastruttura e il 19 novembre siamo intervenuti per rimuovere il loro accesso. Ci dispiace che la situazione sia degenerata fino a questo punto e continueremo ad essere trasparenti nelle nostre comunicazioni su questo argomento”.
Perdite che avrebbero potuto essere limitate
Come riportato in precedenza, alcuni utenti hanno iniziato a lamentarsi di azioni esterne sui loro conti di trading di criptovalute, che Changpeng Zhao, il CEO di Binance, aveva condiviso lui stesso su Twitter:
Abbiamo riscontrato almeno 3 casi di utenti che hanno condiviso la loro chiave API con piattaforme di terze parti (Skyrex e 3commas) e hanno visto un trading inaspettato sui loro conti. Se avete già utilizzato una piattaforma di questo tipo, vi consiglio vivamente di cancellare le vostre chiavi API per sicurezza.
– CZ Binance (@cz_binance) November 14, 2022
Eppure, 3Commas ha ripetutamente (qui, qui e qui, per esempio) negato i fatti in lunghi post sul blog, spiegando che le prove e altre schermate di potenziali vulnerabilità nel suo database sono state fabbricate o falsificate. 3Commas ha anche biasimato i suoi utenti, accusandoli di essere stati ingannati da tentativi di phishing.
Inoltre, un’indagine condotta da @ZachXBT ha rivelato il 20 dicembre che sono stati rubati 14,8 milioni di dollari a 44 vittime. Va notato che questi sono solo individui che sono stati vittimizzati e hanno deciso di unirsi per condividere la loro sfortuna, e che il numero totale di vittime è probabilmente molto più alto.
2/3 Gli utenti hanno presentato reclami in diverse borse. È chiaro che non si tratta di phishing e che le chiavi API sono state rubate.
3Commas e il suo fondatore hanno scelto di incolpare gli utenti. Cancellate le chiavi api se non l’avete già fatto e smettete di usare 3commas.
– ZachXBT (@zachxbt) December 20, 2022
” Gli utenti hanno presentato reclami su vari exchange di criptovalute. È chiaro che non si tratta di phishing e che le chiavi di accesso sono state rubate. 3Commas e il suo fondatore hanno scelto di incolpare i propri utenti. Cancellare le chiavi di accesso se non lo si è già fatto e smettere di usare 3Commas. “
Tuttavia, ora che la fuga di dati è stata finalmente ammessa, resta da chiedersi cosa accadrà agli utenti coinvolti. Per il momento, sembra che alcuni di loro si siano uniti per intraprendere un’azione legale collettiva.