Após 2 meses de negar uma possível fuga de dados da sua plataforma, Yuriy Sorokin, o CEO da 3Commas, admitiu finalmente que as chaves API dos seus clientes estão de facto comprometidas. A origem da violação ainda não foi explicada no momento da redacção de
3Commas API keys leaked
Yuriy Sorokin, o CEO da 3Commas, uma plataforma de negociação de moeda criptográfica automatizada, finalmente admitiu que as chaves API dos seus utilizadores estavam de facto comprometidas:
1. Declaração de 3Commas:
Vimos a mensagem do hacker e podemos confirmar que os dados contidos nos ficheiros são verdadeiros. Como acção imediata, pedimos que Binance, Kucoin e outras trocas apoiadas revogassem todas as chaves que estavam ligadas a 3Commas.
– Yuriy Sorokin (@YS_3Commas) Dezembro 28, 2022
” Vimos a mensagem do hacker e podemos confirmar que os dados nos ficheiros são verdadeiros. Como acção imediata, pedimos a Binance, Kucoin, e outras plataformas de troca apoiadas para revogar todas as chaves que estavam ligadas a 3Commas. “
Aqui, Yuriy Sorokin refere-se a um utilizador do Twitter que partilhou parte da base de dados do 3Commas, que continha, entre outras coisas, chaves API dos utilizadores da plataforma.
Sem surpresas, as respostas à declaração do CEO da 3Commas foram particularmente vingativas. De facto, passaram cerca de 2 meses desde que um número crescente de utilizadores da plataforma se queixou de acções inexplicáveis nas suas contas e 3Commas continua a negar qualquer responsabilidade.
Embora o problema tenha agora sido confirmado, a origem da violação permanece um mistério, de acordo com Yuriy Sorokin:
Fizemos tudo o que podíamos para investigar um trabalho interno, porque era sempre um cenário possível e estava na nossa lista de possibilidades a ter em conta, mas não foi encontrado. Apenas um pequeno número de técnicos teve acesso à infra-estrutura e, em 19 de Novembro, tomámos medidas para remover o seu acesso. Lamentamos que esta situação se tenha agravado a tal ponto e continuará a ser transparente nas nossas comunicações sobre este assunto. “
Perdas que poderiam ter sido limitadas
Como já foi referido anteriormente, vários utilizadores começaram a queixar-se de acções externas nas suas contas de negociação de moeda criptográfica, que Changpeng Zhao, o CEO da Binance, tinha partilhado ele próprio no Twitter:
Vimos pelo menos 3 casos de utilizadores que partilharam a sua chave API com plataformas de terceiros (Skyrex e 3commas), e vimos transacções inesperadas nas suas contas. Se já utilizou tal plataforma antes, recomendo-lhe vivamente que elimine as suas chaves API apenas por razões de segurança.
– CZ Binance (@cz_binance) 14 de Novembro de 2022
No entanto, 3Commas negou repetidamente (aqui, aqui e aqui, por exemplo) os factos em longos posts no blogue, explicando que as provas e outras capturas de ecrã de potenciais vulnerabilidades na sua base de dados foram fabricadas ou falsificadas. 3Commas também culpou os seus utilizadores, acusando-os de serem enganados por tentativas de phishing.
Além disso, uma investigação conduzida por @ZachXBT revelou a 20 de Dezembro que 14,8 milhões de dólares tinham sido roubados a 44 vítimas. É de notar que se trata apenas de indivíduos que foram vitimizados e decidiram unir-se para partilhar a sua desgraça, e que o número total de vítimas é provavelmente muito superior.
2/3 Os utilizadores têm apresentado reclamações através de diferentes intercâmbios. É evidente que isto não é phishing e que as chaves da api foram roubadas.
3Commas e o seu fundador escolheram culpar os seus utilizadores. Apague as chaves da api se ainda não o fez e deixe de usar o 3commas.
– ZachXBT (@zachxbt) de 20, 2022
” Utilizadores apresentaram queixas sobre várias trocas de moeda criptográfica. É evidente que isto não é phishing e que as chaves de acesso foram roubadas. 3Commas e o seu fundador escolheram culpar os seus utilizadores. Apague as suas chaves de acesso se ainda não o fez e deixe de usar o 3Commas. “
No entanto, agora que a fuga de dados foi finalmente admitida, a questão permanece quanto ao que irá acontecer aos utilizadores afectados. Por enquanto, parece que alguns deles se uniram para intentar uma acção judicial colectiva.