Imagem da matéria: Hacker confirma vazamento em plataforma de criptomoedas e Binance faz alerta: "Desative suas chaves"
Foto: Shutterstock

Um grupo de traders havia dito na semana passada que US$ 22 milhões em criptomoedas foram roubados por meio do vazamento de chaves de API da plataforma de negociação 3Commas. O projeto inicialmente insistiu que não havia nenhum problema de segurança, e o co-fundador Yuriy Sorokin sugeriu repetidamente que um ataque de phishing fez com que os usuários desistissem de seus dados.

Mas na noite de quarta-feira (28), a 3Commas finalmente admitiu que era a fonte desse vazamento de API. O anúncio veio depois que um hacker obteve cerca de 100 mil chaves de API pertencentes a usuários da 3Commas e as publicou online.

Publicidade

Após a publicação, Sorokin twittou: “Vimos a mensagem do hacker e podemos confirmar que os dados nos arquivos são verdadeiros… Lamentamos que isso tenha chegado tão longe e continuaremos a ser transparentes em nossas comunicações sobre a situação”.

3Commas é uma plataforma que permite aos usuários vincular várias contas de troca de criptomoedas – como aquelas mantidas na Binance – a um software de negociação automatizada.

Tudo isso é feito por meio de APIs (interfaces de programação de aplicativos), os mecanismos padronizados que permitem que componentes de software separados se comuniquem entre si e executem tarefas. A ideia é que os humanos não precisam fazer o trabalho duro de pensar sobre seus negócios. Em vez disso, tudo é feito instantaneamente e automaticamente via código.

Até que as pessoas erradas tenham acesso às APIs.

O detetive blockchain @ZachXBT disse anteriormente que havia verificado um grupo de 44 vítimas que perderam um total de US$ 14,8 milhões por meio de chaves de API roubadas da 3Commas.

Publicidade

Em resposta, Sorokin twittou que “Se você é uma vítima, significa que de alguma forma suas chaves vazaram”, mas “não de 3Commas”. Se as chaves de API vazadas fossem da 3Commas, “você teria visto milhões de casos, não cem”, raciocinou.

Ele havia ainda criticado a “incompetência das grandes fontes da mídia” e questionou a validade de uma planilha de crowdsourcing de contas comprometidas. “Preste atenção que a maioria dos usuários relatando perdas nem abriu um ticket de suporte com a exchange e não procurou a polícia”, tuitou Sorokin. “Como essa informação foi verificada?”

Hoje, um vingado ZachXBT twittou que “por semanas [3Commas] culpou seus usuários e aceitou responsabilidade zero”.

A 3Commas continuou mentindo e dizendo que isso era nossa culpa, em vez de assumir a responsabilidade e evitar novas explorações”, acrescentou @CoinMamba, outro usuário do 3Commas que disse ter perdido fundos. “Você vai reembolsar os usuários agora?”

Esta não é a primeira vez que a 3Commas e sua API são atacados. Cerca de um mês antes da FTX declarar falência, Sam Bankman-Fried concordou em reembolsar US$ 6 milhões aos clientes afetados pelo que foi descrito como um golpe de phishing envolvendo a 3Commas.

Publicidade

Alerta da Binance

Ainda na quarta-feira, o CEO da Binance, Changpeng CZ Zhao, twittou que estava “razoavelmente certo” de que havia “vazamentos generalizados de chaves de API” da 3Commas.

CZ acrescentou que os usuários deveriam desabilitar suas chaves de API na 3Commas. Isso é o que a plataforma também está recomendando agora.

“Como ação imediata, pedimos que Binance, Kucoin e outras exchanges suportadas revoguem todas as chaves que estavam conectadas ao 3Commas”, tuitou Sorokin.

*Traduzido com autorização do Decrypt

Como será o mercado de criptomoedas em 2023? Clique aqui e descubra no relatório gratuito do time de Research do MB