Un grupo de comerciantes dijo la semana pasada que se habían robado $ 22 millones en criptografía a través de claves API comprometidas de la plataforma comercial 3Commas. El miércoles, 3Commas admitió que fue la fuente de esa fuga de API. El anuncio se produjo después de que un usuario anónimo de Twitter obtuviera alrededor de 100.000 claves API pertenecientes a usuarios de 3Commas y las publicara en línea. 3Commas había insistido inicialmente en que no había ningún problema de seguridad por su parte, y el cofundador Yuriy Sorokin sugirió repetidamente en Twitter que un ataque de phishing hizo que los usuarios entregaran sus datos. Pero el miércoles, Sorokin tuiteó: «Vimos el mensaje del hacker y podemos confirmar que los datos en los archivos son ciertos… Lamentamos que esto haya llegado tan lejos y continuaremos siendo transparentes en nuestras comunicaciones sobre la situación».
1. Declaración de 3Commas: vimos el mensaje del hacker y podemos confirmar que los datos en los archivos son ciertos. Como acción inmediata, hemos pedido que Binance, Kucoin y otros intercambios admitidos revoquen todas las claves que estaban conectadas a 3Commas. —Yuriy Sorokin (@YS_3Commas) 28 de diciembre de 2022
3Commas es una plataforma que permite a los usuarios vincular varias cuentas de intercambio de criptomonedas, como las que se mantienen en Binance, a un software de comercio automatizado. Todo esto se hace a través de API (interfaces de programación de aplicaciones), los mecanismos estandarizados que permiten que los componentes de software separados se comuniquen entre sí y realicen tareas. La idea es que los humanos no tengan que hacer el arduo trabajo de pensar en sus oficios. En cambio, todo se hace de forma instantánea y automática a través de un código. Hasta que las personas equivocadas obtengan acceso a las API. Detective de Blockchain @ZachXBT dijo anteriormente en Twitter que había verificado un grupo de 44 víctimas que perdieron un total de $ 14.8 millones a través de las claves API robadas de 3Commas. En respuesta, Sorokin tuiteó que “si eres una víctima, significa que de alguna manera tus claves se filtraron, ” pero “no de 3Commas”. Si las claves API filtradas hubieran sido de 3Commas, «habría visto millones de casos, no cien», razonó.
Si usted es una víctima, significa que de alguna manera se filtraron sus claves. No de 3Commas, de lo contrario, habría visto millones de casos, no cien. Existen extensiones de navegador, ladrones y todo tipo de malware. —Yuriy Sorokin (@YS_3Commas) 23 de diciembre de 2022
en un hilo separado, criticó la «incompetencia de las grandes fuentes de los medios» y cuestionó la validez de una hoja de cálculo de cuentas comprometidas de colaboración colectiva. “Preste atención a que la mayoría de los usuarios que informaron pérdidas ni siquiera abrieron un ticket de soporte con el intercambio y no fueron a la policía”, tuiteó Sorokin. «¿Cómo se verificó esta información?» Nuevamente él afirmó que hubo muy pocos incidentes para que haya sido un exploit de 3Commas. “Hay más de 1 [million] llaves conectadas a 3Commas, con ~100 usuarios reportando problemas con sus cuentas”, tuiteó Sorokin. “¿Por qué sucedería eso si [database] se filtró?”Hoy, un reivindicado ZachXBT tuiteó que “durante semanas [3Commas] han estado culpando a sus usuarios y aceptando cero responsabilidad”. “Seguiste mintiendo y diciendo que esto fue culpa nuestra en lugar de asumir la responsabilidad y evitar más hazañas”, agregó. @CoinMamba, otro usuario de 3Commas que dijo que perdió fondos. “¿Van a reembolsar a los usuarios ahora?” Esta no es la primera vez que 3Commas y su manejo de API están bajo escrutinio. Aproximadamente un mes antes de que FTX se declarara en bancarrota, Sam Bankman-Fried acordó reembolsar $ 6 millones a los clientes afectados por lo que se describió como una estafa de phishing que involucraba a 3Commas. El miércoles, el CEO de Binance, Changpeng Zhao, tuiteó que estaba «razonablemente seguro» de que había » fugas generalizadas de claves API” de 3Commas.
Estoy razonablemente seguro de que hay filtraciones de claves API generalizadas de 3Commas. Si alguna vez ha puesto una clave API en 3Commas (de cualquier intercambio), desactívela inmediatamente. Permanecer #SAFU. — CZ 🔶 Binance (@cz_binance) 28 de diciembre de 2022
CZ agregó que los usuarios deben deshabilitar sus claves API en 3Commas. Esto es lo que 3Commas ahora también recomienda. «Como acción inmediata, hemos pedido que Binance, Kucoin y otros intercambios admitidos revoquen todas las claves que estaban conectadas a 3Commas», tuiteó Sorokin. 3Commas no ha respondido a una solicitud de más comentarios de Decrypt.