3CommasのCEOであるYuriy Sorokin氏は、2ヶ月間自身のプラットフォームからのデータ漏洩の可能性を否定していましたが、ついに顧客のAPIキーが実際に漏洩していることを認めました。違反の原因は、本稿執筆時点ではまだ解明されていない
。
3CommasのAPIキーが流出
。
暗号通貨の自動取引プラットフォームである3CommasのCEOであるYuriy Sorokin氏は、ユーザーのAPIキーが実際に漏洩したことをついに認めました:
1。3Commasのステートメント。
私たちはハッカーのメッセージを見て、ファイルのデータが真実であることを確認することができました。当面の対応として、Binance、Kucoin、その他の対応取引所に対し、3Commasに接続されていた全ての鍵を失効するよう要請しました
– Yuriy Sorokin (@YS_3Commas) 2022/12/28
..
。
” ハッカーのメッセージを見たところ、ファイル内のデータは事実であることが確認できました。当面の対応として、Binance、Kucoin、その他の対応する取引所プラットフォームに対し、3Commasに接続されていたすべてのキーを失効するよう要請しました。”
ここで、Yuriy Sorokinは、3Commasのデータベースの一部を共有したTwitterユーザーを指しており、そのデータベースには、特に、このプラットフォームのユーザーのAPIキーが含まれていました。
当然ながら、3CommasのCEOの発言に対する反応は、特に怨嗟の声が多かった。3Commasは、自分のアカウントで不可解な行為が行われたとの苦情が増えてから約2ヶ月が経ちますが、依然として責任を否定しています。
Yuriy Sorokinによると、現在、問題は確認されているものの、侵入の原因は謎のままです。
内部犯行は常に考えられるシナリオであり、注意すべきリストにも入っていたため、できる限りの調査をしましたが、見つかりませんでした。インフラにアクセスできるのは一部の技術者のみで、11月19日にそのアクセス権を削除する措置をとりました。このような事態に発展してしまったことを残念に思うとともに、この件に関して透明性のあるコミュニケーションを続けていきます。”
限定できたかもしれない損失
。
既報の通り、多くのユーザーが暗号通貨取引口座に対する外部からのアクションに不満を持ち始めており、BinanceのCEOであるChangpeng Zhao氏が自らTwitterで共有していました:
。
サードパーティプラットフォーム(Skyrexと3commas)とAPIキーを共有したユーザーが、そのアカウントで予想外の取引を行った事例を少なくとも3件確認しました。もし、以前にこのようなプラットフォームを利用したことがあるなら、念のため、APIキーを削除することを強くお勧めします。- CZ Binance (@cz_binance) November 14, 2022
。
しかし、3Commasは、長文のブログ記事で繰り返し事実を否定し(たとえば、ここ、ここ、ここ)、その証拠や、データベースに潜在する脆弱性の他のスクリーンショットは、捏造または偽造されたものだと説明しています。3Commasはまた、フィッシングに騙されたとして、ユーザーを非難している。
また、@ZachXBTが行った調査では、12月20日に44人の被害者から1480万円が盗まれていたことが判明しました。ただし、これはあくまでも被害に遭った個人が、その不幸を分かち合うために結束したものであり、被害者の総数はもっと多いと思われる。
2/3 ユーザーから様々な取引所にわたって苦情が寄せられています。フィッシングではないことは明らかで、apiキーが盗まれた。
3Commasとその創設者は、ユーザーを非難することを選択しました。まだの方はapiキーを削除し、3commasの使用を中止してください。
– ZachXBT (@zachxbt) December 20, 2022
..
。
” ユーザーは様々な暗号通貨取引所に苦情を申し立てています。これはフィッシングではなく、アクセスキーが盗まれたことは明らかです。3Commasとその創設者は、ユーザーを非難することを選択しました。アクセスキーを削除していない場合は、3Commasの利用を停止してください。”
しかし、ようやくデータ流出が認められた今、被害を受けたユーザーはどうなるのか、という疑問が残ります。とりあえず、何人かが一緒になって集団訴訟を起こしたようです(
)