Пользователь Twitter опубликовал дамп, содержащий 10 000 API-ключей, принадлежащих криптовалютой компании 3Commas. При этом он заявил, что это лишь 10% от 100 000 API-ключей, находящихся в его распоряжении. Оставшиеся ключи он пообещал опубликовать в ближайшие дни.
Торговые боты 3Commas используют ключи API для взаимодействия с криптовалютными биржами и, таким образом, от пользователей не требуется учетных данных для совершения автоматических торговых действий от их имени.
Представители 3Commas уже подтвердили, что утечка подлинная и опубликованные API-ключи действительны. В компании призвали все биржи, включая Kucoin, Coinbase и Binance, как можно скорее отозвать ключи, связанные с 3Commas. Пользователям, в свою очередь, рекомендуется самостоятельно перевыпустить ключи для всех связанных бирж, а также связаться со службой поддержки 3Commas для получения рекомендаций по дальнейшим действиям.
В официальном заявлении утверждается, что компания уже проверила, не было ли случившееся работой инсайдера, но никаких доказательств этой теории найдено не было.
«Лишь небольшое количество технических сотрудников имело доступ к инфраструктуре, и с 19 ноября мы предприняли меры, чтобы лишить их этого доступа, — пишут в компании. — С тех пор мы внедрили новые меры безопасности, и не станем останавливаться на достигнутом; мы начинаем полноценное расследование, к которому будут привлечены правоохранительные органы».
Интересно, что, по информации СМИ, эта утечка произошла отнюдь не вчера. Дело в том, что первые сообщения о несанкционированных транзакциях, связанных с 3Commas, начали поступать еще в октябре 2022 года, а в последние недели достигли своего пика. Так, в ноябре пользователи утверждали, что потеряли криптовалюту на сумму около 6 000 000 долларов США, так как из 3Commas каким-то образом «утекли» их учетные данные. По информации журналистов, с тех пор эта сумма как минимум удвоилась.
Тогда представители платформы отвергали любую возможность взлома, и предполагали, что пострадавшие пользователи стали жертвами фишинговых атак или использовали неофициальные троянизированные приложения.
10 декабря 2022 года, после многочисленных сообщений о несанкционированных транзакциях с использованием API-ключей, 3Commas и вовсе опубликовала отчет о проведенном расследовании, в котором утверждалось, что специалистам не удалось обнаружить никаких доказательств компрометации систем компании. Также в отдельной публикации представители компании заверяли, что сообщения о том, будто сотрудники 3Commas воруют пользовательские ключи API и таким образом похищают пользовательские активы, это ложь и фейки.
Теперь пользователи, чьи жалобы на несанкционированные транзакции ранее были отклонены, намерены требовать от компании полного возмещения утерянных средств.
