3Commas 承认它是导致黑客攻击的 API 泄​​漏的来源

一群交易员上周表示 价值 22 万美元的加密货币被盗 通过来自交易平台 3Commas 的受损 API 密钥。 周三，3Commas 承认它是 API 泄​​漏的源头。

该公告是在一位匿名 Twitter 用户获得属于 100,000Commas 用户的大约 3 个 API 密钥并在线发布之后发布的。 

3Commas 最初坚称其端没有安全问题，联合创始人 Yuriy Sorokin 在 Twitter 上多次暗示，网络钓鱼攻击导致用户放弃了他们的数据。 

但在周三，索罗金在推特上写道：“我们看到了黑客的信息，可以确认文件中的数据是真实的……我们很抱歉事已至此，我们将在围绕这一情况的沟通中继续保持透明。”

3Commas 是一个平台，可让用户将多个加密货币交易账户（例如 Binance 上的账户）链接到自动交易软件。 这一切都是通过 API（应用程序编程接口）完成的，API 是使独立的软件组件能够相互通信并执行任务的标准化机制。 这个想法是人类不必费心思考他们的交易。 相反，这一切都是通过代码立即自动完成的。 

直到错误的人访问 API。

区块链侦探 @ZachXBT 此前在推特上表示，他已经验证了一组 44 名受害者，他们通过从 14.8Commas 窃取的 API 密钥损失了总计 3 万美元。

作为回应，索罗金在推特上写道：“如果你是受害者，那就意味着你的密钥不知何故被泄露了”，但“不是来自 3Commas”。 如果泄露的 API 密钥来自 3Commas，“你会看到数百万个案例，而不是一百个，”他推断道。

在一个 单独的线程, 他抨击“大媒体来源的无能”，并质疑众包泄露账户电子表格的有效性。 “请注意，大多数报告损失的用户甚至没有向交易所开具支持票，也没有去报警，”Sorokin 发推文说。 “这些信息是如何验证的？”

又是他 断言 事件太少，不可能是 3Commas 漏洞利用。 “有超过 1 [百万] 个密钥连接到 3Commas，约 100 名用户报告了他们的帐户问题，”Sorokin 发推文说. “如果 [数据库] 泄露，为什么会发生这种情况？”

今天，一个被证明是正确的 ZachXBT 发推文说“数周来 [3Commas] 一直在指责其用户并接受零责任。” 

“你一直在撒谎，说这是我们的错，而不是承担责任并阻止进一步的攻击，”补充说 @CoinMamba，另一位 3Commas 用户说他失去了资金。 “你现在要给用户退款吗？”

这不是 3Commas 及其 API 处理第一次受到审查。 在 FTX 申请破产前大约一个月，Sam Bankman-Fried 同意向受到所谓的破产影响的客户退还 6 万美元。 钓鱼诈骗 涉及3个逗号。

周三，币安首席执行官赵长鹏在推特上表示，他“有理由确定”3Commas 存在“广泛的 API 密钥泄漏”。 

CZ 补充说，用户应该在 3Commas 中禁用他们的 API 密钥。 这也是 3Commas 现在推荐的。

索罗金在推特上写道：“我们已立即采取行动，要求币安、Kucoin 和其他受支持的交易所撤销所有与 3Commas 相关的密钥。”

3Commas 没有回应进一步评论的请求 解码.