مدیر عامل 3Commas نشت کلید API را پس از اخطار CZ تأیید کرد

مدیر عامل بایننس ادعای ضرر ناشی از نشت کلید API 3Comma در اوایل این ماه را نپذیرفته است. اکنون او توصیه می کند که کلید 3Comma API را غیرفعال کنید.

مدیر عامل بایننس Changpeng Zhao (CZ) در ۲۸ دسامبر به ۸ میلیون دنبال کننده توییتر خود گفت که “به طور منطقی مطمئن است” که پلتفرم مدیریت صرافی ارزهای دیجیتال او با نشت کلید API مواجه شده است. من هشدار دادم.

نشت کلیدهای API از 3Commas مطمئناً گسترده است. اگر تا به حال یک کلید API را در 3Commas (از هر صرافی) وارد کرده اید، بلافاصله آن را غیرفعال کنید.

متوقف کردن #SAFU.

– CZ Binance (@cz_binance) ۲۸ دسامبر ۲۰۲۲

این افشاگری توسط CZ به دنبال اتفاقی در ۹ دسامبر رخ داد که بایننس حساب کاربری را که یک روز قبل از از دست دادن سرمایه شکایت کرده بود، لغو کرد. این کاربر ادعا کرد که کلید API لو رفته مرتبط با 3Commas برای “معاملات در سکه های با ارزش پایین برای بالا بردن قیمت ها برای سود” استفاده شده است. بایننس از بازپرداخت وجه به کاربران خودداری کرده است. CZ توییت کرد که این ضرر غیرقابل تأیید است و اگر شرکت چنین ضرری را پوشش دهد، “فقط برای از دست دادن کلید API به کاربر پول می دهد.”

مامبا، راه های بسیار کمی برای اطمینان از اینکه کاربران کلیدهای API خود را دزدیده اند وجود دارد. تراکنش با استفاده از کلید API که ایجاد کردید انجام شد. در غیر این صورت، هزینه از دست دادن کلیدهای API از کاربران دریافت خواهد شد. از درک شما متشکرم.

– CZ Binance (@cz_binance) ۹ دسامبر ۲۰۲۲

در ۱۱ دسامبر، یوری سوروکین، مدیر عامل 3Commas در وبلاگ شرکت پست کرد که تصاویر جعلی در توییتر و یوتیوب در حال پخش است تا نشان دهد که شرکت از امنیت ضعیفی برخوردار است و کارمندان کلیدهای API را می دزدند. سوروکین در یک تحلیل فنی دقیق از جعلی این ادعا را رد کرد.

“کسی که اسکرین شات ها را تهیه کرد با یک ویرایشگر HTML خوب بود، اما اشتباهات مهمی مرتکب شد که به راحتی ادعاهای آنها را جعلی بودن ثابت می کند. نقطه به نقطه آنها را نگاه کنید. برای رفتن.”

مشکل امنیتی برای اولین بار در اواخر اکتبر در 3Commas ظاهر شد. صرافی FTX که در آن زمان هنوز کار می کرد، در پاسخ به گزارشات کاربران مبنی بر تجارت تقلبی جفت های معاملاتی با استفاده از سکه های DMG در FTX، یک هشدار امنیتی صادر کرد. 3Commas و FTX مشخص کردند که هکرها حساب های 3Commas را برای انجام معاملات ایجاد کرده اند. با این حال، طبق وبلاگ 3Commas، “کلید API از 3Commas به دست نیامده، بلکه از خارج از پلت فرم 3Commas گرفته شده است.”

مرتبط: چگونه بایننس از کاربران با برنامه معاملاتی مسئولانه محافظت می کند

در یک پست وبلاگ بعدی، سوروکین اذعان کرد که “شواهد قوی وجود دارد که فیشینگ حداقل تا حدی به ضرر کاربران کمک کرده است.”

در همین حال، کاربران توییتر ادعا می کنند که تمام کلیدهای API 3Commas لو رفته است.

PSA

اگر هنوز کلید API خود را حذف نکرده اید، نشت API 3Commas فاش شده است. pic.twitter.com/yEvrxyWBIq

– دسی بل (@tier10k) ۲۸ دسامبر ۲۰۲۲

اکنون Sorokin نشت را تأیید کرده است و اضافه می کند که او هیچ مدرکی مبنی بر اینکه این نشت یک کار داخلی بوده است، پیدا نکرده است.

۱. بیانیه ۳ Commas:

من توانستم پیام هکر را بررسی کنم و صحت داده های فایل را تأیید کنم. به عنوان یک اقدام اضطراری، ما از Binance، Kucoin و سایر صرافی‌های پشتیبانی شده درخواست کرده‌ایم تا همه کلیدهایی را که به 3Commas متصل شده‌اند، لغو کنند.

— یوری سوروکین (@YS_3Commas) ۲۸ دسامبر ۲۰۲۲

نویسنده: Derek Andersen