A empresa de negociação de Cripto apoiada pela Alameda, 3Commas, diz que tem quase certeza de que T foi violada

Mais de uma dúzia de usuários do serviço de negociação de Cripto 3Commas, apoiado pela Alameda Research de Sam Bankman-Fried, dizem que a plataforma vazou suas credenciais e permitiu que invasores fugissem com mais de US$ 6 milhões em fundos de usuários.

O CEO da plataforma chamou essas alegações de “boatos falsos”, afirmando que aqueles que perderam seus fundos foram vítimas de phishing – o que significa que eles acidentalmente compartilharam suas credenciais com um explorador.

Mas em uma entrevista ao CoinDesk na segunda-feira, o vice-diretor de Tecnologia da 3Commas, Artem Koltsov, voltou atrás na afirmação inequívoca da empresa de que todo usuário que perdeu dinheiro foi vítima de phishing ou roubo de dados.

“O mais decepcionante aqui é que nada pode ser dito com certeza”, disse Koltsov. “Sabemos que há phishing por aí. Sabemos que qualquer coisa pode acontecer com essas chaves de API. Não estamos felizes com isso."

Nenhum dos lados consegue provar seu argumento definitivamente: assim como a 3Commas T pode afirmar com certeza que nunca foi vítima de um hack, seus usuários T podem provar que nunca compartilharam acidentalmente suas chaves de API.

Mas em meio a toda essa confusão, declarações conflitantes da 3Commas geraram mais perguntas do que respostas.

O que aconteceu

A 3Commas, sediada na Estônia e que se autodenomina a “maior plataforma de negociação automática de Cripto ”, afirma em sua biografia do Twitter que processa US$ 23 bilhões em volume mensal.

CoinDesk relatou em setembro, levantou US$ 37 milhões em financiamento da Série B da Target Global, Jump Cripto e Alameda Research – a empresa de negociação vinculada à SBF que implodiu no início deste mês junto com a bolsa FTX de Bankman-Fried.

O ganha-pão da 3Commas são seus bots de negociação – programas que executam negociações automaticamente para usuários em plataformas de câmbio como Binance, Coinbase e FTX.

Para que um bot 3Commas execute negociações em uma plataforma como a Coinbase, o usuário deve fornecer à 3Commas uma chave de API – credenciais Secret geradas pela exchange que concedem a plataformas de terceiros, como a 3Commas, permissão para negociar em nome do usuário.

A partir de outubro, vários usuários do 3Commas notaram que suas contas na Binance, Coinbase, FTX e OKX foram saqueadas.

“Recebi um e-mail da Coinbase dizendo: 'Sua conta foi bloqueada devido a um problema de segurança'”, lembrou um usuário do 3Commas, um empreendedor do Reino Unido, em uma entrevista com a CoinDesk. “Consegui passar pelo processo de autorrecuperação deles, que levou cerca de seis horas. Entrei na conta e pude ver que ela havia sido comprometida.”

“Houve dezenas e dezenas e dezenas de negociações”, disse o usuário. “Basicamente, eles usaram meus detalhes de API para vender todos os meus ativos em uma moeda de baixa capitalização e baixa liquidez.” No total, diz o usuário, ele perdeu US$ 200.000 com a exploração.

Mais de uma dúzia de usuários alegaram ter sido vítimas de ataques semelhantes, que aconteceram em WAVES ao longo de outubro e novembro.

Em comunicações analisadas pelo CoinDesk, agentes do Help Desk da Binance e da Coinbase confirmaram a vários usuários que suas contas foram esvaziadas por hackers por meio de suas chaves de API 3Commas.

Após a primeira onda de ataques em meados de outubro, a 3Commas publicou umapostagem de blogconfirmando que algumas das chaves de API de seus usuários foram roubadas. De acordo com a empresa, as chaves de API foram usadas para roubar mais de US$ 6 milhões – um número que teria aumentado com ataques subsequentes em novembro.

A 3Commas disse que uma investigação interna não encontrou evidências, no entanto, de que sua plataforma tenha sido violada. Em vez disso, a empresa concluiu que os usuários devem ter compartilhado inadvertidamente suas credenciais de API com sites de phishing.

“O golpe de phishing mais típico, que foi o caso do que estamos discutindo hoje, envolve personificar uma empresa legítima por e-mail ou outros meios e fazer o usuário clicar em um site clonado que se assemelha muito à interface com a qual o usuário está familiarizado, mas com uma URL ligeiramente diferente”, escreveu o CEO da 3Commas, Yuri Sorokin. “O usuário insere seus detalhes de login e, então, estresse e dor significativos são vivenciados por esse usuário e pelo serviço legítimo com o qual ele está tentando interagir.”

Rumores de um vazamento do 3Commas

Nem todo mundo acreditou na explicação da 3Commas sobre o que aconteceu, e rumores começaram a circular online de que a 3Commas estava usando a história de um "golpe de phishing" para encobrir uma exploração.

A especulação sobre algo mais sórdido aumentou em 14 de novembro, quando Changpeng “CZ” Zhao, CEO da Binance, a maior bolsa de Cripto do mundo em volume, fez referência à 3Commas em um tuitar: “Nós [sic] vimos pelo menos 3 casos de usuários que compartilharam suas chaves de API com plataformas de terceiros (Skyrex e 3commas) e vimos negociações inesperadas em suas contas. Se você usou uma plataforma dessas antes, eu recomendo fortemente que você exclua suas chaves de API só por segurança.”

Sorokin abordou os rumores de vazamento em uma postagem de blog de 15 de novembro intitulada, “RE: Falsos rumores de vazamentos de API ou exposição de nosso banco de dados”. No topo da postagem, ele reiterou que “os traders da 3Commas estão seguros”.

Quanto ao boato de que a plataforma havia sido violada, Sorokin o chamou de "uma acusação completamente infundada, divulgada por indivíduos nas redes sociais que T entendem como a criptografia de chaves de API realmente funciona".

Essa declaração em particular irritou vários usuários da 3Commas que perderam fundos. Usuários que acreditam que suas credenciais foram vazadas pela empresa se organizaram em um grupo do Telegram. Muitos no grupo de 18 pessoas alegaram ser usuários experientes de Cripto , e pelo menos dois se identificaram como engenheiros de software.

Todos aqueles com quem o CoinDesk falou insistiram que não encontraram nenhum site de phishing 3Commas em seus históricos de navegação.

Os membros do grupo com quem o CoinDesk conversou disseram que também tomaram precauções adicionais – como adicionar o site oficial do 3Commas aos favoritos e configurar a autenticação de dois fatores para proteger suas contas.

Golpes de phishing geralmente funcionam enganando os usuários para que copiem e colem credenciais confidenciais em um site falso.

Um engenheiro turco que perdeu US$ 300.000 no incidente da API da 3Commas disse que conectou sua conta da Binance Exchange à 3Commas usando um serviço “Fast API”. De acordo com a Binance, o serviço Fast API remove completamente a etapa de copiar e colar – ele teria conectado o 3Commas à Binance sem exigir que o usuário inserisse manualmente seu código de API.

Se esse usuário nunca colou manualmente as credenciais da API em nenhum lugar, como ele alega no grupo do Telegram, fica menos claro como ele pode ter sido vítima de phishing.

“[A 3Commas] sabia disso há até um mês e eles poderiam ter tomado uma ação mais decisiva”, disse o empreendedor do Reino Unido à CoinDesk. “Eles publicaram posts de blog sem nenhum aviso direto, e todos os avisos são a linha do partido de que os clientes foram vítimas de phishing para obter seus detalhes de API. Mas a alegação deles simplesmente T se sustenta.”

Membros do grupo “3Commas Leak Issue” começaram a inundar o servidor Discord, a página do Twitter e os grupos do Telegram da empresa com perguntas, pedidos de mais transparência e alegações de que a plataforma agiu desonestamente.

3Commas, por sua vez, baniu alguns usuários descontentes do Discord e começou a fechar os chats do Telegram que circulavam rumores de que a plataforma foi violada. “Agora somos obrigados a fechar os chats do grupo do Telegram, pois podemos ver que alguns membros provaram [sic] informações enganosas e falsas, o que é uma infração criminal”, Sorokintweetou.

Estabelecendo os fatos

À medida que os usuários continuam a perseguir a 3Commas com perguntas, a empresa parece estar recuando em sua afirmação de que o phishing foi a única explicação para a perda de fundos pelos usuários.

Em umTweet de 18 de novembro, A primeira posição da 3Commas foi inequívoca: “No mês passado, houve vários incidentes de negociações não autorizadas em exchanges parceiras. Identificamos que as chaves de API desses usuários foram acessadas por meio de uma variedade de métodos de phishing e roubo de entrada.”

Para apoiar sua afirmação de que o ataque foi resultado de phishing e não de um vazamento, a 3Commas publicoucapturas de tela para seu blogmostrando que dezenas de versões falsificadas de seu site proliferaram nas últimas semanas. Vários desses sites de phishing foram aparentemente promovidos ao topo do Google acima do site real do 3Commas – uma tática decepcionantemente comum no mundo dos golpes de cripto-phishing.

Mas em sua entrevista com a CoinDesk no final desta semana, Kortsov foi mais circunspecto sobre o que realmente aconteceu. “Não podemos ter 100% de certeza. Definitivamente sabemos que existem sites de phishing por aí. Mas também, sempre que você pergunta ao usuário, a maioria deles dirá... 'Eu nunca deixei minhas chaves caírem em lugar nenhum'” Quanto às negações dos usuários, “não há como verificar isso”, disse Kortsov.

A saga da API 3Commas continua. Ambos os lados parecem convencidos de que estão certos, mas nenhum deles pode produzir evidências que comprovem definitivamente o que aconteceu.

A 3Commas incentivou os usuários a gerar novos códigos de API por precaução e afirma que atualizou seu aplicativo para tornar futuros golpes de phishing mais difíceis de serem realizados.

Em uma declaração compartilhada com a CoinDesk, a equipe jurídica da 3Commas disse que a empresa estava em processo de contratação de especialistas externos para revisar seu código e resolver as coisas definitivamente para os usuários. Enquanto isso, eles disseram: “Apenas uma fração minúscula de usuários relatou atividade anormal à 3Commas. 99,9% das chaves de API armazenadas no banco de dados da 3Commas não foram impactadas pelos ataques.”

Mas a equipe jurídica, assim como Koltsov, parou antes de fazer alegações gerais de que os usuários foram vítimas de phishing. De acordo com a declaração, a 3Commas afirma que não é culpada pelos fundos roubados “até onde sabemos atualmente”.