Um grupo de traders havia dito na semana passada que US$ 22 milhões em criptomoedas foram roubados por meio do vazamento de chaves de API da plataforma de negociação 3Commas. O projeto inicialmente insistiu que não havia nenhum problema de segurança, e o co-fundador Yuriy Sorokin sugeriu repetidamente que um ataque de phishing fez com que os usuários desistissem de seus dados.
Mas na noite de quarta-feira (28), a 3Commas finalmente admitiu que era a fonte desse vazamento de API. O anúncio veio depois que um hacker obteve cerca de 100 mil chaves de API pertencentes a usuários da 3Commas e as publicou online.
Após a publicação, Sorokin twittou: “Vimos a mensagem do hacker e podemos confirmar que os dados nos arquivos são verdadeiros… Lamentamos que isso tenha chegado tão longe e continuaremos a ser transparentes em nossas comunicações sobre a situação”.
1. Statement from 3Commas:
— Yuriy Sorokin (@YS_3Commas) December 28, 2022
We saw the hacker’s message and can confirm that the data in the files is true. As an immediate action, we have asked that Binance, Kucoin, and other supported exchanges revoke all the keys that were connected to 3Commas.
3Commas é uma plataforma que permite aos usuários vincular várias contas de troca de criptomoedas – como aquelas mantidas na Binance – a um software de negociação automatizada.
Tudo isso é feito por meio de APIs (interfaces de programação de aplicativos), os mecanismos padronizados que permitem que componentes de software separados se comuniquem entre si e executem tarefas. A ideia é que os humanos não precisam fazer o trabalho duro de pensar sobre seus negócios. Em vez disso, tudo é feito instantaneamente e automaticamente via código.
Até que as pessoas erradas tenham acesso às APIs.
O detetive blockchain @ZachXBT disse anteriormente que havia verificado um grupo de 44 vítimas que perderam um total de US$ 14,8 milhões por meio de chaves de API roubadas da 3Commas.
Em resposta, Sorokin twittou que “Se você é uma vítima, significa que de alguma forma suas chaves vazaram”, mas “não de 3Commas”. Se as chaves de API vazadas fossem da 3Commas, “você teria visto milhões de casos, não cem”, raciocinou.
Where were the keys leaked from?
— Sean ❤️ 🇹🇭🇭🇰🇬🇧🇺🇦🏴🇷🇺🇱🇾 (@seanchk) December 23, 2022
All victims are of the opinion they were leaked from 3commas. We all consider these to be 3commas APIs because we gave them to you and trusted you with them.#Binance seems completely uninterested in helping as well.@cz_binance @binance
Ele havia ainda criticado a “incompetência das grandes fontes da mídia” e questionou a validade de uma planilha de crowdsourcing de contas comprometidas. “Preste atenção que a maioria dos usuários relatando perdas nem abriu um ticket de suporte com a exchange e não procurou a polícia”, tuitou Sorokin. “Como essa informação foi verificada?”
Hoje, um vingado ZachXBT twittou que “por semanas [3Commas] culpou seus usuários e aceitou responsabilidade zero”.
1/ Six hours ago an account messaged me and sent over a db with api keys of 3Commas users. I began working to verify its validity and quickly shared the info with exchanges. pic.twitter.com/MBKatUyzBE
— ZachXBT (@zachxbt) December 28, 2022
A 3Commas continuou mentindo e dizendo que isso era nossa culpa, em vez de assumir a responsabilidade e evitar novas explorações”, acrescentou @CoinMamba, outro usuário do 3Commas que disse ter perdido fundos. “Você vai reembolsar os usuários agora?”
Esta não é a primeira vez que a 3Commas e sua API são atacados. Cerca de um mês antes da FTX declarar falência, Sam Bankman-Fried concordou em reembolsar US$ 6 milhões aos clientes afetados pelo que foi descrito como um golpe de phishing envolvendo a 3Commas.
Alerta da Binance
Ainda na quarta-feira, o CEO da Binance, Changpeng CZ Zhao, twittou que estava “razoavelmente certo” de que havia “vazamentos generalizados de chaves de API” da 3Commas.
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
— CZ 🔶 Binance (@cz_binance) December 28, 2022
Stay #SAFU.
CZ acrescentou que os usuários deveriam desabilitar suas chaves de API na 3Commas. Isso é o que a plataforma também está recomendando agora.
“Como ação imediata, pedimos que Binance, Kucoin e outras exchanges suportadas revoguem todas as chaves que estavam conectadas ao 3Commas”, tuitou Sorokin.
*Traduzido com autorização do Decrypt
Como será o mercado de criptomoedas em 2023? Clique aqui e descubra no relatório gratuito do time de Research do MB