مدیر عامل بایننس به ادعای ضرر ناشی از نشت کلید 3Comma API در اوایل ماه جاری توجهی نکرد. اکنون 3Comma غیرفعال کردن کلیدهای API را توصیه می کند.

مدیر عامل بایننس، چانگ پنگ ژائو (CZ) به 8 میلیون دنبال کننده توییتر خود در دسامبر هشدار داد.

من کاملاً مطمئن هستم که نشت کلید API گسترده از 3Commas وجود دارد. اگر یک کلید API (از هر صرافی) روی 3Commas قرار داده اید، لطفاً فوراً آن را غیرفعال کنید.

ماندن #SAFU.

– CZ Binance (@cz_binance) 28 دسامبر 2022

افشای CZ پس از رویداد در 9 دسامبر، زمانی که بایننس حساب کاربری را که روز قبل از از دست دادن پول شکایت کرده بود، لغو کرد. این کاربر ادعا کرد که یک کلید API فاش شده وابسته به 3Commas “برای تجارت سکه های کم حجم برای افزایش قیمت برای سود استفاده شده است.” بایننس از بازپرداخت وجه به کاربر خودداری کرد. CZ در توییتی اعلام کرد که ضرر قابل تأیید نیست و اگر شرکت چنین ضررهایی را جبران کند، “ما برای کاربرانی که کلیدهای API خود را از دست داده اند، پرداخت خواهیم کرد.”

Mamba تقریباً هیچ راهی ندارد که بتوانیم مطمئن شویم کاربران کلیدهای API آنها را نمی‌دزدند. معاملات با استفاده از کلیدهای API ایجاد شده توسط شما انجام شد. در غیر این صورت، ما فقط به کاربران برای از دست دادن کلیدهای API خود پول پرداخت می کنیم. امیدوارم متوجه شده باشید.

– CZ Binance (@cz_binance) 9 دسامبر 2022

در 11 دسامبر، یوری سوروکین، مدیر عامل 3Commas در وبلاگ شرکتش ادعا کرد که اسکرین شات های جعلی در توییتر و یوتیوب دست به دست می شود تا نشان دهد که امنیت شرکت ضعیف است و کارمندان کلیدهای API را می دزدند. سوروکین در تحلیل فنی عمیق خود از محصولات تقلبی این اتهامات را رد کرد:

شخصی که اسکرین‌شات‌ها را ایجاد کرد، با یک ویرایشگر HTML کار خوبی انجام داد، اما چند اشتباه بزرگ مرتکب شد که به راحتی نادرست بودن ادعای او را ثابت کرد. ما آنها را نقطه به نقطه پوشش خواهیم داد.

مسائل امنیتی برای اولین بار در اواخر اکتبر در 3Commas ظاهر شد. در آن زمان، صرافی FTX که هنوز فعال بود، در پاسخ به گزارش‌های کاربران مبنی بر تجارت غیرمجاز جفت‌های معاملاتی با سکه DMG در FTX، یک هشدار امنیتی صادر کرد. 3Commas و FTX مشخص کردند که هکرها حساب های 3Commas را برای انجام معاملات ایجاد کرده اند. با این حال، طبق وبلاگ 3Commas، “کلیدهای API از خارج از پلتفرم 3Commas به دست آمده اند، نه از 3Commas.”

مطالب مرتبط: بایننس چگونه با برنامه معاملاتی مسئول خود از کاربران خود محافظت می کند؟

در یک پست وبلاگ بعدی، سوروکین اذعان کرد که “ما شواهد محکمی داریم که فیشینگ عاملی در حداقل برخی از از دست دادن کاربران است.”

در همین حال، یکی از کاربران توییتر ادعا کرد که تمام کلیدهای API 3Commas لو رفته است.

PSA

اگر هنوز کلید API خود را حذف نکرده‌اید، نشت API 3Commas منتشر شده است. pic.twitter.com/yEvrxyWBIq

— db (@tier10k) 28 دسامبر 2022

اکنون Sorokin نشت را تأیید کرده و اضافه کرده است که هیچ مدرکی دال بر اینکه این نشت یک کار داخلی بوده است وجود ندارد.

1. بیانیه از 3 Commas:

ما پیام هکر را دیده‌ایم و می‌توانیم صحت اطلاعات موجود در فایل‌ها را تأیید کنیم. به عنوان یک اقدام فوری، ما از Binance، Kucoin و سایر صرافی‌های پشتیبانی شده درخواست کردیم تا همه کلیدهای متصل به 3Commas را باطل کنند.

— یوری سوروکین (@YS_3Commas) 28 دسامبر 2022

نویسنده: Derek Andersen