حذر Changpeng Zhao (CZ) ، الرئيس التنفيذي لشركة Binance ، متابعه على تويتر البالغ عددهم 8 ملايين يوم 28 ديسمبر من أنه "متأكد بشكل معقول" من حدوث تسريبات رئيسية في واجهة برمجة التطبيقات في منصة إدارة تداول العملات المشفرة.
أنا متأكد بشكل معقول من وجود تسريبات واسعة الانتشار لمفتاح API من 3Commas. إذا سبق لك وضع مفتاح API في 3Commas (من أي تبادل) ، فيرجى تعطيله على الفور.
اطلع #SAFU.
- تشيكوسلوفاكيا بينانس (cz_binance) 28 كانون الأول، 2022
جاء الكشف من قبل CZ في أعقاب حادثة في 9 ديسمبر ، عندما Binance إلغاء حساب المستخدم الذي اشتكى من خسارة الأموال في اليوم السابق. ادعى هذا المستخدم أن مفتاح API تم تسريبه مرتبط بـ 3Commas تم استخدامه "لإجراء صفقات على عملات ذات سقف منخفض لرفع السعر لتحقيق ربح". رفض Binance تعويض المستخدم. غردت تشيكوسلوفاكيا بأن الخسارة لا يمكن التحقق منها ، وإذا عوضت الشركة عن مثل هذه الخسائر "فسوف ندفع فقط للمستخدمين لفقد مفاتيح API الخاصة بهم".
مامبا ، لا توجد طريقة تقريبًا بالنسبة لنا للتأكد من أن المستخدمين لم يسرقوا مفاتيح API الخاصة بهم. تم إجراء الصفقات باستخدام مفاتيح API التي قمت بإنشائها. وإلا فسوف ندفع فقط مقابل فقد المستخدمين لمفاتيح واجهة برمجة التطبيقات الخاصة بهم. أتمنى أن تتفهم.
- تشيكوسلوفاكيا بينانس (cz_binance) 9 كانون الأول، 2022
في 11 ديسمبر ، الرئيس التنفيذي لشركة 3Commas ، يوري سوروكين ادعى على مدونة الشركة تم تداول لقطات شاشة مزيفة على Twitter و YouTube بدعوى إظهار أن الشركة لديها أمان ضعيف وأن الموظفين كانوا يسرقون مفاتيح API. ونفت سوروكين المزاعم في تحليل فني متعمق للصور:
"قام الشخص الذي أنشأ لقطات الشاشة بعمل جيد باستخدام محرر HTML ، لكنهم ارتكبوا بعض الأخطاء الرئيسية التي تثبت بسهولة مزاعمهم. سوف نمر بهذه النقطة بنقطة ".
ظهرت القضايا الأمنية لأول مرة في 3Commas في أواخر أكتوبر. في ذلك الوقت ، كان لا يزال يعمل أصدرت بورصة FTX إنذارًا أمنيًا ردًا على التقارير الواردة من المستخدمين عن الصفقات غير المصرح بها لأزواج التداول مع عملة DMG على FTX. قررت 3Commas و FTX أن المتسللين أنشأوا حسابات 3Commas لأداء الصفقات. ومع ذلك ، وفقًا لمدونة 3Commas ، "لم يتم أخذ مفاتيح واجهة برمجة التطبيقات من 3Commas ولكن من خارج منصة 3Commas."
هذا الموضوع ذو علاقة بـ: كيف تحمي Binance مستخدميها من خلال برنامج تداول مسؤول
في مدونة لاحقة ، أقر سوروكين بأن "لدينا دليل قوي على أن التصيد الاحتيالي كان على الأقل في جزء ما عاملاً مساهماً" في خسائر المستخدمين.
في غضون ذلك ، زعم أحد مستخدمي Twitter أنه تم تسريب جميع مفاتيح واجهة برمجة تطبيقات 3Commas.
PSA
تم نشر تسريب 3Commas API ، إذا لم تكن قد قمت بالفعل بإزالة مفتاح API الخاص بك pic.twitter.com/yEvrxyWBIq
- ديسيبل (@ tier10k) 28 كانون الأول، 2022
الآن ، أكدت سوروكين التسريب ، إضافة إلى أنه لم يتم العثور على دليل على أن التسريب كان عملًا داخليًا.
1. بيان من 3Commas:
لقد رأينا رسالة المخترق ويمكننا تأكيد صحة البيانات الموجودة في الملفات. كإجراء فوري ، طلبنا من Binance و Kucoin وغيرهما من التبادلات المدعومة إبطال جميع المفاتيح التي كانت متصلة بـ 3Commas.
- يوري سوروكين (@ YS_3Commas) 28 كانون الأول، 2022
المصدر: https://cointelegraph.com/news/3commas-ceo-confirms-api-key-leak-following-warning-from-cz