Sinasabi ng Alameda-Backed Crypto Trading Firm na 3Commas Ito ay Siguradong T Ito Nilabag

Mahigit sa isang dosenang user ng Crypto trading service na 3Commas, na sinuportahan ng Sam Bankman-Fried's Alameda Research, ang nagsabing ang platform ay nag-leak ng kanilang mga kredensyal at nagbigay-daan sa mga umaatake na tumakas nang may mahigit $6 milyon na pondo ng user.

Tinawag ng CEO ng platform ang mga paratang na ito na "mga maling alingawngaw," na nagsasabi na ang mga nawalan ng kanilang mga pondo ay na-phish - ibig sabihin ay hindi nila sinasadyang ibinahagi ang kanilang mga kredensyal sa isang mapagsamantala.

Ngunit sa isang pakikipanayam sa CoinDesk noong Lunes, binaliktad ni 3Commas Deputy Chief Technology Officer Artem Koltsov ang malinaw na pahayag ng kumpanya na ang bawat user na nawalan ng pera ay biktima ng phishing o input-stealling.

"Ang napaka-disappointing bagay dito ay walang masasabi nang sigurado," sabi ni Koltsov. "Alam namin na mayroong phishing doon. Alam namin na anumang bagay ay maaaring mangyari sa mga API key na iyon. Hindi kami masaya tungkol dito."

Wala sa alinmang panig ang makapagpapatunay ng argumento nito nang depinitibo: Kung paanong T masasabi ng 3Commas na tiyak na hindi ito naging biktima ng hack, T mapapatunayan ng mga user nito na hindi nila sinasadyang naibahagi ang kanilang mga API key.

Ngunit sa gitna ng lahat ng kalituhan, ang mga magkasalungat na pahayag mula sa 3Commas ay nag-imbita ng higit pang mga tanong kaysa sa mga sagot.

Anong nangyari

Ang 3Commas, na nakabase sa Estonia at tinatawag ang sarili nito na "pinakamalaking awtomatikong platform ng kalakalan sa Crypto ," ay sinasabi sa Twitter bio nito na nagpoproseso ito ng $23 bilyon sa buwanang dami.

Iniulat ng CoinDesk noong Setyembre na nakalikom ito ng $37 milyon sa pagpopondo ng Series B mula sa Target Global, Jump Crypto at Alameda Research – ang SBF-linked trading firm na sumabog noong unang bahagi ng buwan kasama ang FTX exchange ng Bankman-Fried.

Ang tinapay at mantikilya ng 3Commas ay ang mga trading bot nito – mga programang awtomatikong nagsasagawa ng mga trade para sa mga user sa mga exchange platform tulad ng Binance, Coinbase at FTX.

Upang ang 3Commas bot ay makapagsagawa ng mga trade sa isang platform tulad ng Coinbase, dapat bigyan ng user ang 3Commas ng API key – mga Secret na kredensyal na nabuo ng exchange na nagbibigay ng pahintulot sa mga third-party na platform, tulad ng 3Commas, na mag-trade sa ngalan ng user.

Simula noong Oktubre, napansin ng ilang user ng 3Commas na na-ransack ang kanilang mga account sa Binance, Coinbase, FTX at OKX.

“Mayroon akong email mula sa Coinbase na nagsasabing, 'Na-lock ang iyong account dahil sa isang isyu sa seguridad,'” paggunita ng ONE user ng 3Commas, isang negosyanteng nakabase sa UK, sa isang panayam sa CoinDesk. "Nagawa kong dumaan sa kanilang proseso ng pagbawi sa sarili, na tumagal ng halos anim na oras. Pumasok ako sa account at nakita kong nakompromiso ito."

"Mayroong dose-dosenang at dose-dosenang mga trade," sabi ng user. “Sa pangkalahatan, ginamit nila ang mga detalye ng API ko para ibenta ang lahat ng asset ko sa isang low-cap, low-liquidity coin.” Sa kabuuan, sabi ng user na ito, nawalan siya ng $200,000 sa pagsasamantala.

Mahigit sa isang dosenang user ang nag-claim na naging biktima ng mga katulad na pag-atake, na nangyari sa mga WAVES sa buong Oktubre at Nobyembre.

Sa mga komunikasyong sinuri ng CoinDesk, kinumpirma ng mga ahente ng Help Desk sa Binance at Coinbase sa ilang user na ang kanilang mga account ay na-drain ng mga hacker sa pamamagitan ng kanilang 3Commas API keys.

Pagkatapos ng unang alon ng mga pag-atake noong kalagitnaan ng Oktubre, inilathala ng 3Commas ang a post sa blog na nagpapatunay na ang ilan sa mga API key ng mga user nito ay ninakaw. Ayon sa firm, ang mga API key ay ginamit upang magnakaw ng mahigit $6 milyon – isang numero na maaaring tumaas sa mga kasunod na pag-atake noong Nobyembre.

Sinabi ng 3Commas na ang isang panloob na pagsisiyasat ay walang nakitang ebidensya, gayunpaman, na ang plataporma nito ay nilabag. Sa halip, napagpasyahan ng kompanya na hindi sinasadyang ibinahagi ng mga user ang kanilang mga kredensyal sa API sa mga website ng phishing.

"Ang pinakakaraniwang phishing scam, na ang kaso sa pinag - uusapan ngayon, ay nagsasangkot ng pagpapanggap bilang isang lehitimong kumpanya sa pamamagitan ng email o iba pang paraan at pagkuha sa user na mag-click sa isang naka-clone na website na halos kahawig ng interface na pamilyar sa user ngunit may bahagyang naiibang URL," isinulat ng 3Commas CEO Yuri Sorokin. "Ilalagay ng user ang kanilang mga detalye sa pag-log-in, at pagkatapos ay ang malaking stress at sakit ay mararanasan ng user na iyon at ang lehitimong serbisyong sinusubukan nilang makipag-ugnayan."

Mga alingawngaw ng 3Commas leak

Hindi lahat ay bumili ng paliwanag ng 3Commas para sa nangyari, at nagsimulang kumalat ang mga alingawngaw online na ginagamit ng 3Commas ang kuwento ng isang "phishing scam" para pagtakpan ang isang pagsasamantala.

Ang espekulasyon ng isang bagay na mas karumaldumal ay lumakas noong Nob. 14, nang si Changpeng “CZ” Zhao, ang CEO ng Binance, ang pinakamalaking Crypto exchange sa buong mundo ayon sa volume, ay nag-reference sa 3Commas sa isang tweet: "Nakakita kami [sic] ng hindi bababa sa 3 kaso ng mga user na nagbahagi ng kanilang API key sa mga 3rd party na platform (Skyrex at 3commas), at nakakita ng hindi inaasahang pangangalakal sa kanilang mga account. Kung gumamit ka ng ganoong platform dati, lubos kong inirerekomenda sa iyong tanggalin ang iyong mga API key para lang maging ligtas."

Tinugunan ni Sorokin ang mga tsismis sa pagtagas sa isang post sa blog noong Nob. 15 na pinamagatang, "RE: Mga Maling Alingawngaw ng Mga Pag-leak ng API o Pagkakalantad ng aming Database." Sa tuktok ng post, inulit niya na "ligtas ang mga mangangalakal ng 3Commas."

Tungkol naman sa tsismis na ang platform ay nilabag, tinawag ito ni Sorokin na "isang ganap na walang basehang akusasyon na pinalutang ng mga indibidwal sa social media na T naiintindihan kung paano gumagana ang API key encryption."

Ang partikular na pahayag na ito ay nag-rub sa ilang user ng 3Commas na nawalan ng mga pondo sa maling paraan. Ang mga gumagamit na naniniwala na ang kanilang mga kredensyal ay na-leak ng kompanya ay nag-organisa ng kanilang mga sarili sa isang Telegram group. Marami sa 18-taong grupo ang nag-claim na mga batikang gumagamit ng Crypto , at hindi bababa sa dalawang nakilala bilang mga software engineer.

Iginiit ng lahat ng mga nakausap ng CoinDesk na wala silang nakitang 3Commas phishing site sa kanilang mga kasaysayan ng browser.

Ang mga miyembro ng grupo na nakausap ng CoinDesk ay nagsabi na nagsagawa rin sila ng mga karagdagang pag-iingat - tulad ng pag-bookmark sa opisyal na site ng 3Commas at pag-configure ng two-factor authentication upang ma-secure ang kanilang mga account.

Karaniwang gumagana ang mga scam sa phishing sa pamamagitan ng panlilinlang sa mga user na kopyahin at i-paste ang mga sensitibong kredensyal sa isang spoof site.

Sinabi ng ONE Turkish engineer na nawalan ng $300,000 sa insidente ng 3Commas API na ikinonekta niya ang kanyang Binance exchange account sa 3Commas gamit ang serbisyong "Fast API". Ayon kay Binance, ang serbisyo ng Fast API ay ganap na nag-aalis ng copy-paste na hakbang – ikinonekta sana nito ang 3Commas sa Binance nang hindi nangangailangan ng user na manu-manong ipasok ang kanyang API code.

Kung ang user na ito ay hindi kailanman manu-manong nag-paste ng mga kredensyal ng API kahit saan, gaya ng inaangkin niya sa grupong Telegram, hindi gaanong malinaw kung paano siya na-phish.

"Nalaman ng [3Commas] ang tungkol dito hanggang sa isang buwan at maaari silang gumawa ng mas mapagpasyang aksyon," sinabi ng negosyanteng UK sa CoinDesk. "Naglabas sila ng mga post sa blog nang walang anumang direktang babala, at ang lahat ng babala ay ang linya ng partido na na-phish ng mga customer para sa kanilang mga detalye ng API. Ngunit ang kanilang claim ay T naninindigan."

Ang mga miyembro ng grupong "3Commas Leak Issue" ay nagsimulang mag-flood sa Discord server, Twitter page, at Telegram group ng kumpanya ng mga tanong, mga kahilingan para sa higit pang transparency, at mga paratang na ang platform ay kumilos nang hindi tapat.

Ang 3Commas, sa bahagi nito, ay pinagbawalan ang ilang hindi nasisiyahang mga user mula sa Discord nito at sinimulan nang isara ang mga Telegram chat na nagpapakalat ng mga tsismis na ang platform ay nilabag. "Obligado na kami ngayon na isara ang mga chat ng grupo sa Telegram dahil nakikita namin na ang ilang miyembro ay nagpapatunay ng mapanlinlang at maling impormasyon, na isang kriminal na pagkakasala," Sorokin nagtweet.

Pagtatakda ng tuwid na tala

Habang patuloy na hinahabol ng mga user ang 3Commas na may mga tanong, lumilitaw na itinaatras ng kompanya ang pahayag nito na ang phishing ay ang tanging paliwanag kung paano nawala ang mga pondo ng mga user.

Sa isang Nob. 18 tweet, ang unang paninindigan ng 3Commas ay malinaw: "Sa nakalipas na buwan, maraming insidente ng hindi awtorisadong pakikipagkalakalan sa mga palitan ng kasosyo. Natukoy namin na ang mga API key ng mga user na ito ay na-access sa pamamagitan ng iba't ibang paraan ng phishing at input-stealing."

Upang i-back up ang pahayag nito na ang pag-atake ay resulta ng phishing sa halip na isang pagtagas, nag-post ang 3Commas mga screenshot sa blog nito na nagpapakita na dose-dosenang mga spoofed na bersyon ng site nito ang dumami sa mga nakalipas na linggo. Ang ilan sa mga phishing site na ito ay maliwanag na na-promote sa tuktok ng Google sa itaas ng tunay na 3Commas site - isang nakakadismaya na karaniwang taktika sa mundo ng mga crypto-phishing scam.

Ngunit sa kanyang pakikipanayam sa CoinDesk sa huling bahagi ng linggong ito, mas maingat si Kortsov tungkol sa kung ano talaga ang nangyari. "Hindi kami maaaring maging 100% sigurado. Tiyak na alam namin na may mga phishing site out doon. Ngunit gayundin, sa tuwing tatanungin mo ang user, karamihan sa kanila ay magsasabi ... 'Hindi ko pa nahuhulog ang aking mga susi kahit saan'" Tungkol sa mga pagtanggi mula sa mga gumagamit, "walang paraan upang suriin ito sa lahat," sabi ni Kortsov.

Ang 3Commas API saga ay nagpapatuloy. Ang magkabilang panig ay tila kumbinsido na sila ay nasa tama, ngunit ni isa ay hindi makakapagbigay ng ebidensyang tiyak na nagpapatunay sa nangyari.

Hinikayat ng 3Commas ang mga user na bumuo ng mga bagong API code bilang pag-iingat, at sinasabi nitong na-update nito ang app nito upang gawing mas mahirap gawin ang mga phishing scam sa hinaharap.

Sa isang pahayag na ibinahagi sa CoinDesk, sinabi ng legal na koponan ng 3Commas na ang kumpanya ay nasa proseso ng pagkuha ng mga eksperto sa labas upang suriin ang code nito at ayusin ang mga bagay nang tiyak para sa mga user. Pansamantala, sinabi nila, "Isang maliit na bahagi lamang ng mga user ang nag-ulat ng abnormal na aktibidad sa 3Commas. 99.9% ng mga API key na nakaimbak sa database ng 3Commas ay hindi naapektuhan ng mga pag-atake."

Ngunit ang legal na koponan, tulad ng Koltsov, ay tumigil sa paggawa ng mga blanket na claim na ang mga user ay na-phish. Ayon sa pahayag, pinaninindigan ng 3Commas na hindi dapat sisihin ang mga ninakaw na pondo "sa aming pinakamahusay na kasalukuyang kaalaman."