3Commas首席执行官在CZ发出警告后确认API密钥泄漏
币安首席执行官不太接受本月早些时候因 3Comma API 密钥泄露而造成的损失索赔;现在他建议禁用 3Comma API 密钥。
币安首席执行官赵长鹏(CZ)在12月28日警告他的800万Twitter粉丝,他“合理地确定”API密钥泄漏正在加密货币交易管理平台上发生。
我有理由确定 3Commas存在广泛的 API 密钥泄漏。如果您曾经在 3Commas(来自任何交易所)中放置过 API 密钥,请立即禁用它。
保持#SAFU。
— CZ 币安 (@cz_binance) 2022 年 12 月 28 日
CZ的披露是在12月9日发生的一起事件之后发生的,当时币安取消了一名抱怨一天前失去资金的用户的账户。该用户声称,与3Commas相关的泄露API密钥被用来“在低帽硬币上进行交易,以推高价格以获利”。币安拒绝偿还用户。CZ在推特上表示,损失是无法核实的,如果该公司弥补了这些损失,“我们只会为用户丢失API密钥付费。
Mamba,我们几乎没有办法确保用户没有窃取自己的API密钥。交易是使用您创建的API密钥完成的。否则,我们只会为用户丢失其 API 密钥付费。希望你能理解。
— CZ 币安 (@cz_binance) 2022 年 12 月 9 日
12月11日,3Commas首席执行官尤里·索罗金(Yuriy Sorokin)在公司博客上声称,Twitter和YouTube上流传着虚假截图,声称该公司的安全性松懈,员工正在窃取API密钥。索罗金在对图像的深入技术分析中否认了这些指控:
“创建屏幕截图的人在HTML编辑器方面做得很好,但他们犯了一些关键错误,很容易证明他们的说法是假的。我们将逐点介绍这些内容。
安全问题首次出现在 10 月下旬的 3Commas。当时,仍在运作的FTX交易所发布了安全警报,以响应用户在FTX上使用DMG硬币进行未经授权的交易对的报告。3Commas和FTX确定黑客创建了3Commas帐户来执行交易。然而,根据3Commas博客,“API密钥不是从3Commas获取的,而是从3Commas平台外部获取的。
在随后的一篇博客文章中,Sorokin承认“我们有确凿的证据表明,网络钓鱼至少在某种程度上是用户流失的一个促成因素”。
与此同时,一位Twitter用户声称3Commas的所有API密钥都已泄露。
PSA
3逗号API泄漏已发布,如果您尚未删除API密钥 pic.twitter.com/yEvrxyWBIq
— db (@tier10k) 2022 年 12 月 28 日
现在,索罗金已经确认了泄漏,此外,没有发现任何证据表明泄漏是内部工作。
1. 来自 3Commas的声明:
我们看到了黑客的消息,可以确认文件中的数据是真实的。作为立即行动,我们已要求币安、Kucoin和其他支持的交易所撤销所有连接到3Commas的密钥。
— 尤里·索罗金
声明:本站所有内容,如无特殊说明或标注,均为采集网络资源,任何内容均不构成投资建议。