Платформа для алгоритмической торговли криптовалютами 3Commas признала утечку ключей API. Основатель и CEO проекта Юрий Сорокин заявил в Twitter, что 3Commas видела сообщение хакера, в котором он опубликовал список ключей, и может подтвердить, что данные в файлах соответствуют действительности.
API-ключ — это цифровой код, который позволяет внешней программе от имени пользователя осуществлять действия на бирже. С его помощью можно просматривать информацию о кошельке, включая данные о транзакциях, проводить сделки, вводить и выводить средства через сторонние программы.
Недавняя утечка API-ключей привела к тому, что на различных криптовалютных биржах преступники торговали от имени пользователей, чьи ключи они получили в свое распоряжение. Инцидент затронул клиентов криптобирж FTX, Binance US и Bittrex.
3Commas ранее предупреждала о компрометации ряда API-ключей пользователей, которые впоследствии использовались для осуществления несанкционированных сделок. Но платформа заявляла, что кража данных произошла за пределами их системы в результате фишинг-атаки, проведенной на поддельных сайтах, имитирующих ресурс 3Commas.
28 декабря новостной агрегатор DB News сообщил, что злоумышленник опубликовал список API-ключей, связанных с 3Commas, которые были украдены.
В сообщении Сорокина от того же числа отмечается, что эти данные верны. Также он заявил, что команда исследовала вероятность похищения ключей кем-то из сотрудников, но не нашла тому доказательств. Теперь платформа начнет «полноценное расследование» с участием правоохранительных органов. 3Commas попросили Binance, Kucoin и другие биржи отозвать все связанные с платформой ключи.
Глава биржи Binance Чанпэн Чжао в свою очередь сообщил, что убежден в том, что утечка ключей 3Commas получила широкое распространение, и рекомендовал пользователям незамедлительно отключить любые ключи, когда-либо предоставленные этой платформе, с любой из криптовалютных бирж.
В начале декабря трейдер, широкоизвестный в криптосообществе под псевдонимом CoinMamba, начал активно жаловаться на то, что Binance не реагирует должным образом на потерю средств пользователями из-за кражи их API-ключей. В результате его спора с техподдержкой и Чжао, аккаунт CoinMamba на Binance был заблокирован, но проблема с API-ключами получила широкую огласку.
После того, как вечером 28 декабря стало известно о публикации ключей, CoinMamba переадресовал свои претензии 3Commas. При этом криптосообщество теперь настаивает на том, чтобы он принес свои извинения Binance и Чжао из-за ложных обвинений в их сторону.
В связи с кражами ключей Binance уже объявила пользователям на прошлой неделе, что теперь будет удалять неактивные API-ключи старше 30 дней и не внесенные в «белый список» IP-адреса.