3Commas, empresa de comercio de Cripto con respaldo de Alameda, afirma estar bastante segura de que no sufrió una vulneración de seguridad.

Más de una docena de usuarios del servicio de comercio de Cripto 3Commas, respaldado por Alameda Research de Sam Bankman-Fried, dicen que la plataforma filtró sus credenciales y permitió a los atacantes huir con más de $6 millones en fondos de los usuarios.

El director ejecutivo de la plataforma calificó estas acusaciones de “falsos rumores” y afirmó que quienes perdieron sus fondos fueron víctimas de phishing, lo que significa que accidentalmente compartieron sus credenciales con un explotador.

Pero en una entrevista con CoinDesk el lunes, el director adjunto de Tecnología de 3Commas, Artem Koltsov, se retractó de la afirmación inequívoca de la compañía de que cada usuario que perdió dinero fue víctima de phishing o robo de información.

“Lo más decepcionante es que no se puede asegurar nada”, dijo Koltsov. “Sabemos que existe phishing. Sabemos que cualquier cosa podría pasar con esas claves API. No nos complace”.

Ninguna de las partes puede probar su argumento definitivamente: así como 3Commas no puede afirmar con certeza que nunca fue víctima de un ataque informático, sus usuarios no pueden demostrar que nunca compartieron accidentalmente sus claves API.

Pero en medio de toda la confusión, las declaraciones contradictorias de 3Commas han generado más preguntas que respuestas.

Qué pasó

3Commas, que tiene su sede en Estonia y se autodenomina la “plataforma de comercio automático de Cripto más grande”, afirma en su biografía de Twitter que procesa $23 mil millones en volumen mensual.

CoinDesk informó en septiembre recaudó 37 millones de dólares en financiación de Serie B de Target Global, Jump Cripto y Alameda Research, la empresa comercial vinculada a SBF que implosionó a principios de este mes junto con el intercambio FTX de Bankman-Fried.

El sustento de 3Commas son sus bots comerciales: programas que ejecutan operaciones automáticamente para los usuarios en plataformas de intercambio como Binance, Coinbase y FTX.

Para que un bot de 3Commas ejecute operaciones en una plataforma como Coinbase, el usuario debe proporcionar a 3Commas una clave API: credenciales Secret generadas por el intercambio que otorgan a las plataformas de terceros, como 3Commas, permiso para operar en nombre de un usuario.

A partir de octubre, varios usuarios de 3Commas notaron que sus cuentas en Binance, Coinbase, FTX y OKX habían sido saqueadas.

“Recibí un correo electrónico de Coinbase que decía: 'Su cuenta ha sido bloqueada debido a un problema de seguridad'”, recordó un usuario de 3Commas, un emprendedor del Reino Unido, en una entrevista con CoinDesk. “Logré completar su proceso de recuperación automática, que tardó unas seis horas. Accedí a la cuenta y vi que había sido comprometida”.

"Hubo muchísimas transacciones", dijo el usuario. "Básicamente, usaron los datos de mi API para vender todos mis activos a una moneda de baja capitalización y baja liquidez". En total, este usuario afirma haber perdido 200.000 dólares por el exploit.

Más de una docena de usuarios afirmaron haber sido víctimas de ataques similares, que ocurrieron en WAVES a lo largo de octubre y noviembre.

En comunicaciones revisadas por CoinDesk, los agentes de Help Desk de Binance y Coinbase confirmaron a varios usuarios que sus cuentas habían sido vaciadas por piratas informáticos a través de sus claves API de 3Commas.

Después de la primera ola de ataques a mediados de octubre, 3Commas publicó unentrada de blogConfirmando el robo de las claves API de algunos de sus usuarios. Según la empresa, las claves API se utilizaron para robar más de 6 millones de dólares, una cifra que habría aumentado con los ataques posteriores de noviembre.

3Commas afirmó que, sin embargo, una investigación interna no halló evidencia de que su plataforma hubiera sido vulnerada. En cambio, la empresa concluyó que los usuarios debieron haber compartido inadvertidamente sus credenciales de API con sitios web de phishing.

“La estafa de phishing más común, como la que comentamos hoy, consiste en hacerse pasar por una empresa legítima por correo electrónico u otros medios y conseguir que el usuario acceda a un sitio web clonado que se asemeja mucho a la interfaz con la que está familiarizado, pero con una URL ligeramente diferente”, escribió Yuri Sorokin, director ejecutivo de 3Commas. “El usuario introduce sus datos de acceso, y entonces experimenta un estrés y sufrimiento considerables, tanto para él como para el servicio legítimo con el que intenta interactuar”.

Rumores de una filtración de 3Commas

No todos creyeron la explicación de 3Commas sobre lo sucedido y comenzaron a circular rumores en línea de que 3Commas estaba usando la historia de una “estafa de phishing” para encubrir un exploit.

Las especulaciones sobre algo más sórdido se hicieron más fuertes el 14 de noviembre, cuando Changpeng “CZ” Zhao, el director ejecutivo de Binance, el mayor intercambio de Cripto del mundo por volumen, hizo referencia a 3Commas en un piarHemos visto al menos tres casos de usuarios que compartieron su clave API con plataformas de terceros (Skyrex y 3commas) y sufrieron transacciones inesperadas en sus cuentas. Si ya has utilizado alguna de estas plataformas, te recomiendo encarecidamente que borres tus claves API por seguridad.

Sorokin abordó los rumores de filtración en una entrada de blog del 15 de noviembre titulada "RE: Falsos rumores de fugas de API o exposición de nuestra base de datos". En la parte superior de la publicación, reiteró que "los operadores de 3Commas están a salvo".

En cuanto al rumor de que la plataforma había sido violada, Sorokin lo calificó como "una acusación completamente infundada difundida por personas en las redes sociales que no entienden cómo funciona realmente el cifrado de clave API".

Esta declaración en particular irritó a varios usuarios de 3Commas que habían perdido fondos. Quienes creían que la empresa había filtrado sus credenciales se organizaron en un grupo de Telegram. Muchos de los 18 miembros del grupo afirmaron ser usuarios experimentados de Cripto , y al menos dos se identificaron como ingenieros de software.

Todos aquellos con quienes habló CoinDesk insistieron en que no encontraron ningún sitio de phishing de 3Commas en el historial de sus navegadores.

Los miembros del grupo con los que habló CoinDesk dicen que también tomaron precauciones adicionales, como marcar como favorito el sitio oficial de 3Commas y configurar la autenticación de dos factores para proteger sus cuentas.

Las estafas de phishing generalmente funcionan engañando a los usuarios para que copien y peguen credenciales confidenciales en un sitio falso.

Un ingeniero turco que perdió $300,000 por el incidente de la API de 3Commas dijo que conectó su cuenta de intercambio Binance a 3Commas usando un servicio de “API rápida”. Según BinanceEl servicio Fast API elimina por completo el paso de copiar y pegar: habría conectado 3Commas a Binance sin requerir que el usuario ingrese manualmente su código API.

Si este usuario nunca pegó manualmente las credenciales de API en ningún lugar, como afirma en el grupo de Telegram, está menos claro cómo pudo haber sido víctima de phishing.

“[3Commas] sabía de esto desde hacía hasta un mes y podrían haber tomado medidas más contundentes”, declaró el empresario británico a CoinDesk. “Han publicado entradas de blog sin advertencias directas, y todas las advertencias son la misma línea argumental: los clientes han sido víctimas de phishing para obtener sus datos de API. Pero su afirmación simplemente no se sostiene”.

Los miembros del grupo “3Commas Leak Issue” han comenzado a inundar el servidor Discord de la compañía, su página de Twitter y los grupos de Telegram con preguntas, solicitudes de mayor transparencia y acusaciones de que la plataforma ha actuado de manera deshonesta.

3Commas, por su parte, expulsó a algunos usuarios descontentos de su Discord y ha comenzado a cerrar chats de Telegram que circulaban rumores de una vulneración de la plataforma. "Nos vemos obligados a cerrar los chats grupales de Telegram, ya que vemos que algunos miembros están probando información engañosa y falsa, lo cual constituye un delito penal", dijo Sorokin.tuiteó.

Poniendo las cosas en claro

Mientras los usuarios continúan acosando a 3Commas con preguntas, la empresa parece estar retractándose de su afirmación de que el phishing fue la única explicación de cómo los usuarios perdieron sus fondos.

En unTweet del 18 de noviembreLa primera postura de 3Commas fue tajante: «Durante el último mes, se han producido múltiples incidentes de transacciones no autorizadas en plataformas de intercambio asociadas. Hemos identificado que se accedió a las claves API de estos usuarios mediante diversos métodos de phishing y robo de datos».

Para respaldar su afirmación de que el ataque fue el resultado de un phishing y no de una filtración, 3Commas publicócapturas de pantalla a su blogEsto demuestra que en las últimas semanas han proliferado docenas de versiones falsas de su sitio. Al parecer, varios de estos sitios de phishing se promocionaron en los primeros resultados de Google, por encima del sitio web oficial de 3Commas, una táctica decepcionantemente común en el mundo de las estafas de criptophishing.

Pero en su entrevista con CoinDesk a finales de esta semana, Kortsov fue más cauto sobre lo que realmente sucedió. "No podemos estar 100% seguros. Sabemos con certeza que existen sitios de phishing. Pero también, cuando le preguntas a un usuario, la mayoría dirá... 'Nunca he perdido mis llaves en ningún sitio'". En cuanto a las negaciones de los usuarios, "no hay forma de comprobarlo", dijo Kortsov.

La saga de la API de 3Commas continúa. Ambas partes parecen convencidas de tener razón, pero ninguna puede aportar pruebas que demuestren definitivamente lo sucedido.

3Commas ha alentado a los usuarios a generar nuevos códigos API como medida de precaución y dice que actualizó su aplicación para que las futuras estafas de phishing sean más difíciles de realizar.

En un comunicado compartido con CoinDesk, el equipo legal de 3Commas afirmó que la firma estaba contratando expertos externos para revisar su código y resolver el problema definitivamente para los usuarios. Mientras tanto, afirmaron: «Solo una fracción minúscula de usuarios reportó actividad anormal a 3Commas. El 99,9 % de las claves API almacenadas en la base de datos de 3Commas no se vieron afectadas por los ataques».

Pero el equipo legal, al igual que Koltsov, no llegó a hacer afirmaciones generales sobre el phishing de los usuarios. Según el comunicado, 3Commas sostiene que no tiene la culpa del robo de fondos, "según nuestro leal saber y entender".