Крипто фірма 3Commas, яку підтримує Alameda, каже, що цілком впевнена, що її T було зламано

Понад дюжина користувачів сервісу Крипто 3Commas, який підтримується Alameda Research Сема Бенкмана-Фріда, стверджують, що платформа злила їхні облікові дані та дозволила зловмисникам втекти з понад 6 мільйонами доларів у користувацьких коштах.

Генеральний директор платформи назвав ці звинувачення «помилковими чутками», заявивши, що ті, хто втратив свої кошти, були піддані фішингу, тобто вони випадково поділилися своїми обліковими даними з експлуататором.

Але в інтерв’ю CoinDesk у понеділок заступник головного Технології директора 3Commas Артем Кольцов відмовився від однозначної заяви компанії про те, що кожен користувач, який втратив гроші, став жертвою фішингу або крадіжки введених даних.

«Дуже розчаровує те, що нічого не можна сказати напевно», — сказав Кольцов. «Ми знаємо, що існує фішинг. Ми знаємо, що з цими ключами API може трапитися все, що завгодно. Нас це не влаштовує».

Жодна сторона не може остаточно довести свій аргумент: так само, як 3Commas T може точно стверджувати, що він ніколи не був жертвою злому, його користувачі T можуть довести, що вони ніколи випадково не ділилися своїми ключами API.

Але серед усієї плутанини суперечливі заяви 3Commas викликали більше питань, ніж відповідей.

Що сталося

3Commas, яка базується в Естонії і називає себе «найбільшою автоматичною Крипто торговою платформою», стверджує у своїй біографії в Twitter, що обробляє 23 мільярди доларів щомісяця.

Про це повідомляє CoinDesk У вересні вона залучила 37 мільйонів доларів у вигляді фінансування серії B від Target Global, Jump Крипто та Alameda Research – торгової фірми, пов’язаної з SBF, яка зруйнувалася на початку цього місяця разом із біржею FTX Банкмана-Фріда.

Хлібом і маслом 3Commas є його торгові боти – програми, які автоматично здійснюють угоди для користувачів на біржових платформах, таких як Binance, Coinbase і FTX.

Щоб бот 3Commas міг здійснювати операції на такій платформі, як Coinbase, користувач повинен надати 3Commas ключ API – Secret облікові дані, згенеровані біржею, які надають стороннім платформам, таким як 3Commas, дозвіл торгувати від імені користувача.

Починаючи з жовтня, кілька користувачів 3Commas помітили, що їхні акаунти на Binance, Coinbase, FTX і OKX були пограбовані.

«Я отримав електронний лист від Coinbase із повідомленням: «Ваш обліковий запис заблоковано через проблему з безпекою», — згадує ONE користувач 3Commas, британський підприємець, в інтерв’ю CoinDesk. "Мені вдалося пройти процес їхнього самовідновлення, який зайняв близько шести годин. Я зайшов в обліковий запис і побачив, що його зламано".

«Були десятки і десятки і десятки угод», — сказав користувач. «По суті, вони використовували дані мого API, щоб продати всі мої активи в монету з низькою капіталізацією та низькою ліквідністю». Загалом, за словами цього користувача, він втратив через експлойт 200 000 доларів.

Понад десяток користувачів заявили, що стали жертвами подібних атак, які відбувалися WAVES протягом жовтня та листопада.

У повідомленні, перевіреному CoinDesk, агенти служби підтримки Binance та Coinbase підтвердили кільком користувачам, що їхні облікові записи були злиті хакерами за допомогою їхніх ключів API 3Commas.

Після першої хвилі атак у середині жовтня 3Commas опублікував a публікація в блозі підтверджуючи, що ключі API деяких користувачів були вкрадені. За даними фірми, ключі API використовувалися для викрадення понад 6 мільйонів доларів США – кількість, яка зросла б із наступними атаками в листопаді.

У 3Commas заявили, що внутрішнє розслідування не виявило жодних доказів того, що їхню платформу було зламано. Натомість фірма дійшла висновку, що користувачі, ймовірно, випадково поділилися своїми обліковими даними API з фішинговими веб-сайтами.

«Найтиповіший фішинговий афера, як у випадку з ONE, що обговорюється сьогодні, передбачає видавання себе за легітимну компанію за допомогою електронної пошти чи іншим способом і змусити користувача натиснути на клонований веб-сайт, який дуже нагадує знайомий користувачеві інтерфейс, але з дещо іншою URL-адресою», — написав генеральний директор 3Commas Юрій Сорокін. «Користувач вводить свої дані для входу, а потім цей користувач і законна служба, з якою вони намагаються взаємодіяти, відчувають значний стрес і біль».

Чутки про витік 3Commas

Не всі прийняли пояснення 3Commas щодо того, що трапилося, і в Інтернеті почали ширитися чутки, що 3Commas використовує історію про «шахрайство під фішинг», щоб приховати експлойт.

Припущення про щось більш мерзенне стали голоснішими 14 листопада, коли Чанпен «CZ» Чжао, генеральний директор Binance, найбільшої у світі Крипто біржі за обсягом, посилався на 3Commas у твіт: "Ми [sic] бачили принаймні 3 випадки користувачів, які поділилися своїм ключем API зі сторонніми платформами (Skyrex і 3commas), і помітили неочікувану торгівлю на своїх облікових записах. Якщо ви раніше користувалися такою платформою, я настійно рекомендую вам видалити свої ключі API, щоб бути в безпеці".

Сорокін звернувся до чуток про витік у дописі в блозі від 15 листопада під назвою «RE: Неправдиві чутки про витік API або розкриття нашої бази даних». У верхній частині публікації він повторив, що «трейдери 3Commas у безпеці».

Щодо чуток про те, що платформу було зламано, Сорокін назвав це «цілком безпідставним звинуваченням, висунутим особами в соціальних мережах, які T розуміють, як насправді працює шифрування ключем API».

Ця конкретна заява сколихнула кількох користувачів 3Commas, які втратили кошти неправильним шляхом. Користувачі, які вважають, що їхні облікові дані були виточені фірмою, організувалися в групу Telegram. Багато хто в групі з 18 осіб стверджували, що вони досвідчені користувачі Крипто , і принаймні двоє назвали себе інженерами програмного забезпечення.

Усі, з ким спілкувався CoinDesk , наполягали, що не знайшли фішингових сайтів 3Commas в історії своїх браузерів.

Члени групи, з якими спілкувався CoinDesk , кажуть, що вони також вжили додаткових запобіжних заходів, таких як створення закладок для офіційного сайту 3Commas і налаштування двофакторної аутентифікації для захисту своїх облікових записів.

Фішингове шахрайство зазвичай працює, обманом змушуючи користувачів скопіювати та вставити конфіденційні облікові дані на підроблений сайт.

ONE турецький інженер, який втратив 300 000 доларів через інцидент з API 3Commas, сказав, що підключив свій обліковий запис на біржі Binance до 3Commas за допомогою служби «Швидкий API». За даними Binance, служба Fast API повністю видаляє крок копіювання та вставки – вона підключила б 3Commas до Binance, не вимагаючи від користувача вручну вводити код API.

Якщо цей користувач ніколи ніде вручну не вставляв облікові дані API, як він стверджує в групі Telegram, то менш зрозуміло, як його могли фішингувати.

«[3Commas] знав про це протягом місяця, і вони могли б вжити більш рішучих заходів», — сказав підприємець із Великобританії CoinDesk. "Вони опублікували дописи в блозі без будь-яких прямих попереджень, і всі попередження є лінією сторони, що клієнти були піддані фішингу для їхніх деталей API. Але їх претензії просто T витримують".

Члени групи «3Commas Leak Issue» почали засипати сервер компанії Discord, сторінку Twitter і групи Telegram запитаннями, проханнями про більшу прозорість і звинуваченнями в тому, що платформа діяла нечесно.

3Commas, зі свого боку, заборонила деяким незадоволеним користувачам доступ до Discord і почала закривати чати Telegram, поширюючи чутки про те, що платформу було зламано. «Тепер ми змушені закрити групові чати Telegram, оскільки бачимо, що деякі учасники доводять [sic] оманливу та неправдиву інформацію, що є кримінальним злочином», — Сорокін. твітнув.

Встановлення точного запису

Оскільки користувачі продовжують переслідувати 3Commas запитаннями, компанія, схоже, відмовляється від своїх тверджень, що фішинг був єдиним поясненням того, як користувачі втратили свої кошти.

В а Твіт від 18 листопада, перша позиція 3Commas була однозначною: "Протягом останнього місяця відбулося кілька інцидентів несанкціонованих торгів на партнерських біржах. Ми виявили, що ключі API цих користувачів отримали доступ за допомогою різних методів фішингу та крадіжки введених даних".

Щоб підтвердити свою заяву про те, що атака була результатом фішингу, а не витоку, 3Commas опублікував скріншоти до свого блогу показуючи, що десятки підроблених версій його сайту поширилися за останні тижні. Декілька з цих фішингових сайтів, очевидно, були просунуті на вершину Google над справжнім сайтом 3Commas – на жаль, поширена тактика у світі крипто-фішингового шахрайства.

Але в своєму інтерв'ю CoinDesk пізніше цього тижня Корцов був більш обережним щодо того, що насправді сталося. "Ми не можемо бути впевнені на 100%. Ми точно знаємо, що там є фішингові сайти. Але також, коли б ви не запитали користувача, більшість із них скажуть... "Я ніколи нікуди не кидав свої ключі"" Що стосується спростувань користувачів, "це взагалі неможливо перевірити", - сказав Корцов.

Сага щодо API 3Commas триває. Обидві сторони, здається, переконані в своїй правоті, але жодна не може надати доказів, які б остаточно підтвердили те, що сталося.

3Commas заохочує користувачів генерувати нові коди API з міркувань обережності, і повідомляє, що оновила свою програму, щоб зробити майбутні фішингові афери важчими.

У заяві, надісланій CoinDesk, юридична команда 3Commas заявила, що фірма зараз наймає зовнішніх експертів для перевірки її коду та остаточного вирішення питань для користувачів. Тим часом вони сказали: "Лише мізерна частина користувачів повідомила про ненормальну активність 3Commas. 99,9% ключів API, що зберігаються в базі даних 3Commas, не постраждали від атак".

Але команда юристів, як і Кольцов, відмовилася від загальних заяв про те, що користувачів фішингували. Згідно із заявою, 3Commas стверджує, що не винна у вкрадених коштах, «наскільки нам відомо».