La società di trading Cripto 3Commas, sostenuta da Alameda, afferma di essere abbastanza sicura di T essere stata violata

Oltre una dozzina di utenti del servizio di trading Cripto 3Commas, supportato da Alameda Research di Sam Bankman-Fried, affermano che la piattaforma ha fatto trapelare le loro credenziali e ha consentito agli aggressori di scappare con oltre 6 milioni di dollari di fondi degli utenti.

Il CEO della piattaforma ha definito queste accuse “false voci”, affermando che coloro che hanno perso i loro fondi sono stati oggetto di phishing, ovvero hanno condiviso accidentalmente le loro credenziali con uno sfruttatore.

Ma in un'intervista rilasciata a CoinDesk lunedì, Artem Koltsov, vicedirettore Tecnologie di 3Commas, ha ritrattato l'affermazione inequivocabile dell'azienda secondo cui ogni utente che ha perso denaro è stato vittima di phishing o furto di dati.

"La cosa molto deludente qui è che non si può dire nulla con certezza", ha detto Koltsov. "Sappiamo che c'è phishing là fuori. Sappiamo che potrebbe succedere di tutto con quelle chiavi API. Non ne siamo felici".

Nessuna delle due parti è in grado di provare in modo definitivo la propria tesi: proprio come 3Commas T può affermare con certezza di non essere mai stata vittima di un hackeraggio, i suoi utenti T possono provare di non aver mai condiviso accidentalmente le proprie chiavi API.

Ma in mezzo a tutta questa confusione, le dichiarazioni contrastanti di 3Commas hanno suscitato più domande che risposte.

Quello che è successo

3Commas, con sede in Estonia e che si definisce la "più grande piattaforma di trading automatico Cripto ", afferma nella sua biografia su Twitter di elaborare un volume mensile di 23 miliardi di dollari.

CoinDesk ha segnalato a settembre ha raccolto 37 milioni di dollari in finanziamenti di serie B da Target Global, Jump Cripto e Alameda Research, la società di trading collegata a SBF che è implosa all'inizio di questo mese insieme all'exchange FTX di Bankman-Fried.

Il pane quotidiano di 3Commas sono i suoi bot di trading, programmi che eseguono automaticamente operazioni di trading per gli utenti su piattaforme di scambio come Binance, Coinbase e FTX.

Affinché un bot 3Commas possa eseguire operazioni su una piattaforma come Coinbase, l'utente deve fornire a 3Commas una chiave API, ovvero credenziali Secret generate dall'exchange che concedono alle piattaforme di terze parti, come 3Commas, l'autorizzazione a effettuare operazioni per conto dell'utente.

A partire da ottobre, diversi utenti di 3Commas hanno notato che i loro account su Binance, Coinbase, FTX e OKX erano stati saccheggiati.

"Ho ricevuto un'e-mail da Coinbase che diceva, 'Il tuo account è stato bloccato a causa di un problema di sicurezza'", ha ricordato ONE utente di 3Commas, un imprenditore con sede nel Regno Unito, in un'intervista con CoinDesk. "Sono riuscito a superare il loro processo di auto-recupero, che ha richiesto circa sei ore. Sono entrato nell'account e ho potuto vedere che era stato compromesso".

"Ci sono state decine e decine e decine di transazioni", ha detto l'utente. "In pratica, hanno usato i miei dati API per vendere tutti i miei asset in una moneta a bassa capitalizzazione e bassa liquidità". In totale, dice questo utente, ha perso $ 200.000 a causa dell'exploit.

Oltre una dozzina di utenti hanno dichiarato di essere stati vittime di attacchi simili, verificatisi a WAVES tra ottobre e novembre.

Nelle comunicazioni esaminate da CoinDesk, gli agenti dell'Help Desk di Binance e Coinbase hanno confermato a diversi utenti che i loro account erano stati prosciugati dagli hacker tramite le loro chiavi API 3Commas.

Dopo la prima ondata di attacchi a metà ottobre, 3Commas ha pubblicato unpost del blogconfermando che alcune delle chiavi API dei suoi utenti erano state rubate. Secondo l'azienda, le chiavi API erano state utilizzate per rubare oltre 6 milioni di dollari, una cifra che sarebbe aumentata con i successivi attacchi di novembre.

3Commas ha affermato che un'indagine interna non ha trovato prove, tuttavia, che la sua piattaforma fosse stata violata. Invece, l'azienda ha concluso che gli utenti devono aver inavvertitamente condiviso le loro credenziali API con siti Web di phishing.

"La truffa di phishing più tipica, che è stata il caso di ONE in discussione oggi, consiste nell'impersonare un'azienda legittima tramite e-mail o altri mezzi e nel far cliccare l'utente su un sito Web clonato che assomiglia molto all'interfaccia con cui l'utente ha familiarità ma con un URL leggermente diverso", ha scritto il CEO di 3Commas Yuri Sorokin. "L'utente inserisce i propri dati di accesso e quindi stress e sofferenza significativi vengono sperimentati da quell'utente e dal servizio legittimo con cui sta cercando di interagire".

Si vocifera di una fuga di notizie su 3Commas

Non tutti hanno creduto alla spiegazione di 3Commas su quanto accaduto e online hanno iniziato a circolare voci secondo cui 3Commas stava usando la storia di una "truffa di phishing" per coprire un exploit.

Le speculazioni su qualcosa di più sordido sono diventate più forti il ​​14 novembre, quando Changpeng "CZ" Zhao, CEO di Binance, il più grande exchange Cripto al mondo per volume, ha fatto riferimento a 3Commas in un twittare: "Abbiamo [sic] visto almeno 3 casi di utenti che hanno condiviso la loro chiave API con piattaforme di terze parti (Skyrex e 3commas) e hanno visto trading inaspettato sui loro account. Se hai utilizzato una piattaforma del genere in precedenza, ti consiglio vivamente di eliminare le tue chiavi API per sicurezza."

Sorokin ha affrontato le voci di fuga di notizie in un post del blog del 15 novembre intitolato "RE: False voci di perdite di API o esposizione del nostro database". In cima al post, ha ribadito che "i trader di 3Commas sono al sicuro".

Per quanto riguarda la voce secondo cui la piattaforma sarebbe stata violata, Sorokin l'ha definita "un'accusa completamente infondata diffusa sui social media da individui che T capiscono come funziona realmente la crittografia delle chiavi API".

Questa particolare affermazione ha irritato diversi utenti di 3Commas che avevano perso fondi nel modo sbagliato. Gli utenti che credono che le loro credenziali siano state divulgate dall'azienda si sono organizzati in un gruppo Telegram. Molti nel gruppo di 18 persone hanno affermato di essere utenti esperti Cripto e almeno due si sono identificati come ingegneri del software.

Tutti coloro con cui CoinDesk ha parlato hanno insistito nel dire di non aver trovato alcun sito di phishing 3Commas nella cronologia dei loro browser.

I membri del gruppo con cui CoinDesk ha parlato affermano di aver adottato ulteriori precauzioni, come l'aggiunta ai preferiti del sito ufficiale di 3Commas e la configurazione dell'autenticazione a due fattori per proteggere i propri account.

Le truffe di phishing solitamente funzionano inducendo gli utenti a copiare e incollare credenziali sensibili su un sito fasullo.

ONE ingegnere turco che ha perso 300.000 dollari nell'incidente dell'API 3Commas ha affermato di aver collegato il suo account di scambio Binance a 3Commas utilizzando un servizio "Fast API". Secondo Binance, il servizio Fast API elimina completamente il passaggio di copia-incolla: avrebbe collegato 3Commas a Binance senza richiedere all'utente di inserire manualmente il suo codice API.

Se questo utente non ha mai incollato manualmente le credenziali API da nessuna parte, come sostiene nel gruppo Telegram, è meno chiaro come abbia potuto essere vittima di phishing.

"[3Commas] sapeva di questo da un mese e avrebbero potuto prendere misure più decise", ha detto l'imprenditore britannico a CoinDesk. "Hanno pubblicato post sul blog senza alcun avviso diretto e tutti gli avvisi sono la linea del partito secondo cui i clienti sono stati vittime di phishing per i dettagli delle loro API. Ma la loro affermazione T regge".

I membri del gruppo "3Commas Leak Issue" hanno iniziato a inondare il server Discord, la pagina Twitter e i gruppi Telegram dell'azienda con domande, richieste di maggiore trasparenza e accuse secondo cui la piattaforma ha agito in modo disonesto.

3Commas, da parte sua, ha bannato alcuni utenti scontenti dal suo Discord e ha iniziato a chiudere le chat di Telegram che circolavano voci secondo cui la piattaforma era stata violata. "Siamo ora obbligati a chiudere le chat di gruppo di Telegram poiché possiamo vedere che alcuni membri dimostrano [sic] informazioni fuorvianti e false, il che è un reato penale", ha affermato Sorokin.twittato.

Chiarire le cose

Mentre gli utenti continuano a tempestare 3Commas di domande, l'azienda sembra ritirare la propria affermazione secondo cui il phishing era l'unica spiegazione per la perdita dei fondi da parte degli utenti.

In unTweet del 18 novembre, La prima posizione di 3Commas è stata inequivocabile: "Nel mese scorso, si sono verificati diversi incidenti di scambi non autorizzati sugli exchange dei partner. Abbiamo identificato che le chiavi API di questi utenti sono state violate tramite una varietà di metodi di phishing e furto di input".

Per sostenere la sua affermazione che l'attacco è stato il risultato di un phishing piuttosto che di una fuga di notizie, 3Commas ha pubblicatoscreenshot del suo blogdimostrando che decine di versioni contraffatte del suo sito erano proliferate nelle ultime settimane. Parecchi di questi siti di phishing sono stati apparentemente promossi in cima a Google, al di sopra del vero sito 3Commas, una tattica deludentemente comune nel mondo delle truffe di crypto-phishing.

Ma nella sua intervista con CoinDesk più avanti questa settimana, Kortsov è stato più cauto su cosa sia realmente accaduto. "Non possiamo esserne sicuri al 100%. Sappiamo per certo che ci sono siti di phishing là fuori. Ma inoltre, ogni volta che chiedi all'utente, la maggior parte di loro dirà... 'Non ho mai lasciato le mie chiavi da nessuna parte'" Per quanto riguarda le smentite degli utenti, "non c'è modo di verificarlo affatto", ha detto Kortsov.

La saga dell'API 3Commas è in corso. Entrambe le parti sembrano convinte di avere ragione, ma nessuna delle due riesce a produrre prove che dimostrino in modo definitivo cosa sia successo.

3Commas ha incoraggiato gli utenti a generare nuovi codici API a scopo precauzionale e afferma di aver aggiornato la propria app per rendere più difficili future truffe di phishing.

In una dichiarazione condivisa con CoinDesk, il team legale di 3Commas ha affermato che lo studio stava assumendo esperti esterni per rivedere il suo codice e sistemare definitivamente le cose per gli utenti. Nel frattempo, hanno affermato, "Solo una frazione minuscola di utenti ha segnalato attività anomale a 3Commas. Il 99,9% delle chiavi API archiviate nel database di 3Commas non è stato interessato dagli attacchi".

Ma il team legale, come Koltsov, si è fermato prima di fare affermazioni generiche sul fatto che gli utenti fossero stati oggetto di phishing. Secondo la dichiarazione, 3Commas sostiene di non essere responsabile dei fondi rubati "secondo la nostra migliore conoscenza attuale".