La société de trading de Crypto 3Commas, soutenue par Alameda, affirme être quasiment certaine de ne T avoir été piratée.

Plus d'une douzaine d'utilisateurs du service de trading de Crypto 3Commas, soutenu par Alameda Research de Sam Bankman-Fried, affirment que la plateforme a divulgué leurs informations d'identification et a permis aux attaquants de s'enfuir avec plus de 6 millions de dollars de fonds d'utilisateurs.

Le PDG de la plateforme a qualifié ces allégations de « fausses rumeurs », affirmant que ceux qui ont perdu leurs fonds ont été victimes d’hameçonnage, c’est-à-dire qu’ils ont accidentellement partagé leurs informations d’identification avec un exploiteur.

Mais dans une interview accordée à CoinDesk lundi, le directeur adjoint de la Technologies de 3Commas, Artem Koltsov, est revenu sur l'affirmation sans équivoque de la société selon laquelle chaque utilisateur ayant perdu de l'argent était victime de phishing ou de vol d'entrées.

« Ce qui est vraiment décevant, c'est qu'on ne peut rien affirmer avec certitude », a déclaré Koltsov. « Nous savons que le phishing existe. Nous savons que tout peut arriver avec ces clés API. Nous n'en sommes pas ravis. »

Aucune des deux parties n'est en mesure de prouver définitivement son argument : tout comme 3Commas ne peut T affirmer avec certitude qu'elle n'a jamais été victime d'un piratage, ses utilisateurs ne peuvent T prouver qu'ils n'ont jamais accidentellement partagé leurs clés API.

Mais au milieu de toute cette confusion, les déclarations contradictoires de 3Commas ont suscité plus de questions que de réponses.

Ce qui s'est passé

3Commas, basée en Estonie et se présentant comme la « plus grande plateforme de trading automatique de Crypto », affirme dans sa biographie Twitter qu'elle traite un volume mensuel de 23 milliards de dollars.

CoinDesk a rapporté en septembre, elle a levé 37 millions de dollars en financement de série B auprès de Target Global, Jump Crypto et Alameda Research – la société de trading liée à SBF qui a implosé plus tôt ce mois-ci avec la bourse FTX de Bankman-Fried.

Le pain et le beurre de 3Commas sont ses robots de trading – des programmes qui exécutent automatiquement des transactions pour les utilisateurs sur des plateformes d'échange comme Binance, Coinbase et FTX.

Pour qu'un bot 3Commas puisse exécuter des transactions sur une plateforme comme Coinbase, l'utilisateur doit fournir à 3Commas une clé API - des informations d'identification Secret générées par l'échange qui accordent aux plateformes tierces, comme 3Commas, l'autorisation de négocier au nom d'un utilisateur.

À partir d'octobre, plusieurs utilisateurs de 3Commas ont remarqué que leurs comptes sur Binance, Coinbase, FTX et OKX avaient été pillés.

« J'ai reçu un e-mail de Coinbase m'informant que mon compte avait été verrouillé en raison d'un problème de sécurité », se souvient un utilisateur de 3Commas, un entrepreneur basé au Royaume-Uni, lors d'un entretien avec CoinDesk. « J'ai réussi à suivre leur procédure d'auto-récupération, qui a pris environ six heures. J'ai accédé au compte et j'ai constaté qu'il avait été compromis. »

« Il y a eu des dizaines et des dizaines de transactions », a déclaré l'utilisateur. « En gros, ils ont utilisé mes informations API pour vendre tous mes actifs dans une cryptomonnaie à faible capitalisation et faible liquidité. » Au total, cet utilisateur affirme avoir perdu 200 000 $ à cause de cet exploit.

Plus d’une douzaine d’utilisateurs ont affirmé avoir été victimes d’attaques similaires, qui se sont produites par WAVES tout au long des mois d’octobre et de novembre.

Dans les communications examinées par CoinDesk, les agents du service d'assistance de Binance et de Coinbase ont confirmé à plusieurs utilisateurs que leurs comptes avaient été vidés par des pirates via leurs clés API 3Commas.

Après la première vague d'attaques à la mi-octobre, 3Commas a publié unarticle de blogconfirmant que certaines clés API de ses utilisateurs avaient été volées. Selon l'entreprise, ces clés API auraient permis de voler plus de 6 millions de dollars, un chiffre qui aurait augmenté avec les attaques ultérieures de novembre.

3Commas a déclaré qu'une enquête interne n'avait toutefois révélé aucune preuve de piratage de sa plateforme. L'entreprise a plutôt conclu que les utilisateurs avaient dû partager par inadvertance leurs identifiants API avec des sites web d'hameçonnage.

« L'escroquerie par hameçonnage la plus courante, comme ONE dont nous parlons aujourd'hui, consiste à se faire passer pour une entreprise légitime par e-mail ou par d'autres moyens et à inciter l'utilisateur à cliquer sur un site web cloné ressemblant beaucoup à l'interface habituelle, mais avec une URL légèrement différente », a écrit Yuri Sorokin, PDG de 3Commas. « L'utilisateur saisit ses identifiants, ce qui engendre un stress important pour lui et le service légitime avec lequel il tente d'interagir. »

Rumeurs d'une fuite de 3Commas

Tout le monde n'a pas cru à l'explication de 3Commas sur ce qui s'est passé, et des rumeurs ont commencé à circuler en ligne selon lesquelles 3Commas utilisait l'histoire d'une « arnaque par phishing » pour dissimuler un exploit.

Les spéculations sur quelque chose de plus sordide se sont intensifiées le 14 novembre, lorsque Changpeng « CZ » Zhao, le PDG de Binance, la plus grande bourse de Crypto au monde en termes de volume, a fait référence à 3Commas dans un article. tweet: « Nous avons constaté au moins trois cas d'utilisateurs ayant partagé leur clé API avec des plateformes tierces (Skyrex et 3commas) et constaté des transactions inattendues sur leurs comptes. Si vous avez déjà utilisé une telle plateforme, je vous recommande vivement de supprimer vos clés API par mesure de sécurité. »

Sorokin a répondu aux rumeurs de fuite dans un article de blog du 15 novembre intitulé « RE : Fausses rumeurs de fuites d'API ou d'exposition de notre base de données ». En tête de l'article, il a réitéré que « les traders de 3Commas sont en sécurité ».

Quant à la rumeur selon laquelle la plateforme aurait été piratée, Sorokin l'a qualifiée d'« accusation totalement infondée lancée par des individus sur les réseaux sociaux qui ne comprennent T comment fonctionne réellement le cryptage des clés API ».

Cette déclaration a irrité plusieurs utilisateurs de 3Commas qui avaient perdu des fonds. Pensant que leurs identifiants avaient été divulgués par l'entreprise, ces utilisateurs se sont organisés en un groupe Telegram. Parmi les 18 membres du groupe, plusieurs se sont déclarés experts en Crypto , et au moins deux se sont présentés comme des ingénieurs logiciels.

Tous ceux avec qui CoinDesk s'est entretenu ont insisté sur le fait qu'ils n'avaient trouvé aucun site de phishing 3Commas dans l'historique de leur navigateur.

Les membres du groupe avec lesquels CoinDesk s'est entretenu disent qu'ils ont également pris des précautions supplémentaires, comme ajouter le site officiel de 3Commas à leurs favoris et configurer l'authentification à deux facteurs pour sécuriser leurs comptes.

Les escroqueries par hameçonnage fonctionnent généralement en incitant les utilisateurs à copier et coller des informations d'identification sensibles sur un faux site.

Un ingénieur turc qui a perdu 300 000 $ à cause de l'incident de l'API 3Commas a déclaré qu'il avait connecté son compte d'échange Binance à 3Commas à l'aide d'un service « Fast API ». Selon Binance, le service Fast API supprime entièrement l'étape de copier-coller - il aurait connecté 3Commas à Binance sans demander à l'utilisateur de saisir manuellement son code API.

Si cet utilisateur n'a jamais collé manuellement les informations d'identification de l'API n'importe où, comme il le prétend dans le groupe Telegram, il est moins clair comment il a pu être victime d'hameçonnage.

« [3Commas] était au courant depuis un mois et aurait pu prendre des mesures plus décisives », a déclaré l'entrepreneur britannique à CoinDesk. « Ils ont publié des articles de blog sans aucun avertissement direct, et tous ces avertissements sont le message principal selon lequel des clients ont été victimes d'hameçonnage pour obtenir leurs informations d'API. Mais leurs affirmations ne tiennent tout simplement T . »

Les membres du groupe « 3Commas Leak Issue » ont commencé à inonder le serveur Discord, la page Twitter et les groupes Telegram de l'entreprise avec des questions, des demandes de plus de transparence et des allégations selon lesquelles la plateforme a agi de manière malhonnête.

3Commas, pour sa part, a banni certains utilisateurs mécontents de son compte Discord et a commencé à fermer les groupes de discussion Telegram faisant circuler des rumeurs de piratage de la plateforme. « Nous sommes désormais obligés de fermer les groupes de discussion Telegram, car nous constatons que certains membres fournissent des informations trompeuses et fausses, ce qui constitue une infraction pénale », a déclaré Sorokin.tweeté.

Mettre les choses au clair

Alors que les utilisateurs continuent de harceler 3Commas de questions, l'entreprise semble revenir sur son affirmation selon laquelle le phishing était la seule explication à la perte de fonds des utilisateurs.

Dans unTweet du 18 novembreLa première position de 3Commas a été sans équivoque : « Au cours du mois dernier, de nombreux incidents de transactions non autorisées ont été recensés sur les plateformes d'échange partenaires. Nous avons constaté que les clés API de ces utilisateurs ont été obtenues par diverses méthodes d'hameçonnage et de vol de données. »

Pour étayer son affirmation selon laquelle l'attaque était le résultat d'un phishing plutôt que d'une fuite, 3Commas a publiécaptures d'écran de son blogDes dizaines de versions falsifiées de son site ont proliféré ces dernières semaines. Plusieurs de ces sites de phishing ont apparemment été promus en tête des résultats de recherche Google, au-dessus du véritable site 3Commas – une tactique malheureusement courante dans le monde des arnaques au crypto-phishing.

Mais dans son interview avec CoinDesk plus tard cette semaine, Kortsov s'est montré plus circonspect quant à la réalité des faits. « Nous ne pouvons pas en être sûrs à 100 %. Nous savons pertinemment qu'il existe des sites d'hameçonnage. Mais aussi, lorsqu'on interroge un utilisateur, la plupart d'entre eux répondent… "Je n'ai jamais laissé tomber mes clés nulle part." » Quant aux dénégations des utilisateurs, « il n'y a aucun moyen de les vérifier », a déclaré Kortsov.

La saga de l'API 3Commas continue. Les deux parties semblent convaincues d'avoir raison, mais aucune ne peut fournir de preuves définitives de ce qui s'est passé.

3Commas a encouragé les utilisateurs à générer de nouveaux codes API par mesure de précaution et affirme avoir mis à jour son application pour rendre les futures escroqueries par phishing plus difficiles à réaliser.

Dans un communiqué partagé avec CoinDesk, l'équipe juridique de 3Commas a indiqué que l'entreprise recrutait actuellement des experts externes pour examiner son code et régler définitivement la situation des utilisateurs. En attendant, ils ont déclaré : « Seule une infime partie des utilisateurs a signalé une activité anormale à 3Commas. 99,9 % des clés API stockées dans la base de données 3Commas n'ont pas été affectées par les attaques. »

Mais l'équipe juridique, à l'instar de Koltsov, s'est abstenue d'affirmer de manière générale que les utilisateurs avaient été victimes d'hameçonnage. Selon le communiqué, 3Commas maintient qu'elle n'est pas responsable du vol de fonds « à notre connaissance ».