Sau vài tuần từ chối, công ty giao dịch tiền điện tử 3Commas cuối cùng đã thừa nhận rằng đó là nguồn gốc của vụ rò rỉ khóa API khổng lồ khiến người dùng của họ phải trả hàng triệu đô la.
1. Tuyên bố từ 3Commas:
Chúng tôi đã thấy tin nhắn của tin tặc và có thể xác nhận rằng dữ liệu trong các tệp là đúng. Như một hành động ngay lập tức, chúng tôi đã yêu cầu Binance, Kucoin và các sàn giao dịch được hỗ trợ khác thu hồi tất cả các khóa được kết nối với 3Commas.
– Yuriy Sorokin (@YS_3Commas) Ngày 28 tháng 12 năm 2022
Cuối tháng 10, 3Commas bắt đầu lo ngại về bảo mật. Đáp lại các báo cáo từ người dùng về các giao dịch bất hợp pháp của các cặp giao dịch với đồng tiền DMG trên FTX vào thời điểm đó, sàn giao dịch FTX vẫn đang hoạt động đã đưa ra một thông báo bảo mật. Theo 3Commas và FTX, các giao dịch được thực hiện bằng tài khoản do tin tặc tạo ra.
Người dùng có thể kết nối nhiều tài khoản trao đổi tiền điện tử của họ, chẳng hạn như Binance, KuCoin, OKX và các nền tảng khác, với phần mềm giao dịch tự động bằng nền tảng 3Commas. Giao diện lập trình ứng dụng (API) là các quy trình được tiêu chuẩn hóa cho phép các thành phần phần mềm khác nhau kết nối với nhau và thực hiện các hoạt động.
3Commas và Giám đốc điều hành Yuriy Sorokin đã phủ nhận sự liên quan của họ nhiều lần kể từ tháng 11, ngay cả sau khi người dùng phàn nàn không ngừng. Vào tháng 11, 3Commas đã phát hành một bài viết trên blog nói rằng, bằng cách sử dụng một số kỹ thuật lừa đảo, các tác nhân độc hại đã có thể đánh cắp khóa API trao đổi của một số nhà giao dịch tiền điện tử.
3Commas lưu ý rằng tin tặc cũng có thể đã xâm phạm tính bảo mật của máy tính cá nhân của người dùng bằng cách cài đặt phần mềm độc hại và tiện ích mở rộng trình duyệt để có quyền truy cập vào các tệp chứa khóa.
Công ty cho biết: “Số lượng lớn các sàn giao dịch và dịch vụ tự động hóa thương mại có liên quan cung cấp bằng chứng mạnh mẽ rằng đây là một cuộc tấn công lừa đảo tinh vi kéo dài nhiều tháng được thực hiện bởi một tổ chức tội phạm nhắm vào các nhà giao dịch tiền điện tử riêng lẻ”.
Sorokin đã liên tục phản hồi những lời chỉ trích về nền tảng này trong một loạt các bài blog đăng trên trang web 3Commas.
Ngoài việc phủ nhận việc nhân viên của mình đã đánh cắp khóa API của người dùng, 3Commas còn khẳng định rằng các ảnh chụp màn hình lan truyền trên mạng xã hội là lừa đảo và kêu gọi bất kỳ ai bị hại liên hệ với chính quyền để ngăn chặn hành vi trộm cắp tiền tiếp theo.
Trong một bài đăng trên blog được xuất bản trong tháng này, 3Commas lưu ý“Trong phiên bản mới nhất của câu chuyện về khóa API và các cuộc tấn công vào các sàn giao dịch này, chúng tôi hiện đang thấy các cá nhân trên Twitter và YouTube lưu hành các ảnh chụp màn hình giả mạo nhật ký Cloudflare nhằm thuyết phục mọi người rằng có một lỗ hổng trong 3Commas và rằng chúng tôi đã đủ vô trách nhiệm để cho phép truy cập mở vào dữ liệu người dùng và tệp nhật ký.”
3Commas tỏ ra thực sự tự tin vào sự vô tội của mình khi tuyên bố: “Kết luận chung, chúng tôi thấy rằng những kẻ xấu đã nỗ lực rất nhiều để tạo ra những hình ảnh giả mạo này. Đây là một cuộc tấn công thông tin chưa từng có. Nhưng sẽ là vô nghĩa nếu xem xét nghiêm túc bất kỳ “báo cáo bảo mật” nào dựa trên loại “bằng chứng” như vậy.”
Sau đó, nhà giao dịch tiền điện tử nổi tiếng CoinMamba đã tweet rằng Binance của họ đã bị xâm phạm do vi phạm khóa API 3Commas, dẫn đến việc họ thua lỗ. Bài đăng đã gây ra một loạt cuộc trò chuyện giữa CoinMamba và CZ, Giám đốc điều hành của Binance, dẫn đến việc đóng tài khoản Binance của CoinMamba.
Này các cậu. Thật không may, hai ngày trước, tài khoản Binance của tôi đã bị khai thác thông qua API mà tôi đã tạo cách đây 2 năm và không sử dụng kể từ đó, tôi cho rằng mình đã xóa nhưng dường như không. Nó được sử dụng để thực hiện giao dịch trên các đồng tiền có vốn hóa thấp nhằm đẩy giá lên để kiếm lợi nhuận.
– CoinMamba (@coinmamba) Ngày 8 tháng 12 năm 2022
Nhà điều tra tiền điện tử ZachXBT đã lên tiếng về tình huống này, nói rằng trong vài tuần qua, một số người dùng 3Commas đã báo cáo các giao dịch trái phép trên tài khoản CEX của họ.
“3Commas đổ lỗi cho hành vi “lừa đảo”, nhưng tôi hiện đã xác minh được một nhóm gồm 44 nạn nhân đã bị đánh cắp tổng cộng 14,8 triệu đô la,” ZachXBT đã tweet.
3Commas đã giải quyết mối lo ngại nhưng bằng cách nhắc lại rằng không có vụ hack hay rò rỉ API nào trên nền tảng này, khuyến khích nạn nhân gửi báo cáo cho cảnh sát.
Chúng tôi khẳng định rằng không có hack hoặc rò rỉ API tại 3commas. Bạn có thể đọc nó ở đây https://t.co/4Hzn5wksDK
Chúng tôi cũng khuyến khích các nạn nhân nộp báo cáo cho cảnh sát để các sàn giao dịch có thể được điều tra và các tài khoản giao dịch có thể được truy tìm và số tiền được trả lại cho người dùng.
– 3Commas (@3commas_io) Ngày 20 tháng 12 năm 2022
Một người dùng Twitter đã có thể lấy được gần 100.000 khóa API thuộc về khách hàng của 3Commas. Hơn 10.000 khóa đã được phát hành bởi kẻ rò rỉ và phần còn lại sẽ được tiết lộ ngẫu nhiên trong những ngày tới, theo kẻ rò rỉ.
Và hôm nay, sau hành vi vô trách nhiệm liên tục của 3Commas, người dùng Twitter db đã báo cáo rằng tất cả các khóa API của 3Commas đã bị rò rỉ. Trước đó, Giám đốc điều hành Binance CZ đã tweet rằng ông chắc chắn rằng có nhiều vụ rò rỉ khóa API từ 3Commas.
Sau vụ náo loạn 3Commas, ZachXBT cho biết một tài khoản đã nhắn tin cho anh ta và gửi cơ sở dữ liệu có khóa API của người dùng 3Commas. ZachXBT đã đăng ký với nhóm nạn nhân của 3Commas và họ xác nhận rằng nhiều người đã khớp các khóa API của họ trong cơ sở dữ liệu.
1/ Sáu giờ trước, một tài khoản đã nhắn tin cho tôi và gửi qua db có khóa api của người dùng 3Commas. Tôi bắt đầu làm việc để xác minh tính hợp lệ của nó và nhanh chóng chia sẻ thông tin với các sàn giao dịch. pic.twitter.com/MBKatUyzBE
– ZachXBT (@zachxbt) Ngày 28 tháng 12 năm 2022
Thông báo được gửi tới ZachXBT lưu ý rằng các khóa API đã bị xâm phạm “để dạy cho mọi người một bài học thấp kém, không phải là một bài học khó để không tin tưởng 3Commas.”
Sorokin cuối cùng cũng phải quỳ gối và thừa nhận sự việc sau khi xác minh các khóa API bị rò rỉ, đồng thời viết trên Twitter: “Chúng tôi rất tiếc vì sự việc đã đi quá xa và sẽ tiếp tục minh bạch trong thông tin liên lạc của chúng tôi về tình huống này.”
Như một hành động ngay lập tức, 3Commas đã yêu cầu Binance, Kucoin và các sàn giao dịch được hỗ trợ khác thu hồi tất cả các khóa được kết nối với 3Commas.
3Dấu phẩy công bố, “Chúng tôi kêu gọi mọi người dùng cấp lại khóa của họ trên các sàn giao dịch. Một lần nữa, chúng tôi cam kết nói rằng không có khóa nào sau ngày 16 tháng 11 gặp rủi ro. Trong trường hợp bạn không cập nhật chúng, chúng sẽ bị thu hồi bởi các sàn giao dịch để đảm bảo an toàn cho tài khoản của bạn.”
Các nạn nhân của vụ rò rỉ API 3Commas đang yêu cầu 3Commas và Sorokin bồi thường và xin lỗi vì đã xử lý sai toàn bộ tình huống ngay cả sau khi các nạn nhân liên tục báo cáo tình hình trong nhiều tuần.