Поддерживаемая Аламедой Криптo фирма 3Commas заявляет, что она почти уверена, что ее T взломали

Более десятка пользователей сервиса Криптo торговли 3Commas, который поддерживала компания Alameda Research Сэма Бэнкмана-Фрида, утверждают, что платформа раскрыла их учетные данные и позволила злоумышленникам скрыться с более чем 6 миллионами долларов средств пользователей.

Генеральный директор платформы назвал эти обвинения «ложными слухами», заявив, что люди, потерявшие свои средства, стали жертвами фишинга, то есть случайно поделились своими учетными данными с злоумышленником.

Однако в интервью CoinDesk в понедельник заместитель Технологии директора 3Commas Артем Кольцов опроверг недвусмысленное утверждение компании о том, что каждый пользователь, потерявший деньги, стал жертвой фишинга или кражи входных данных.

«Самое разочаровывающее здесь то, что ничего нельзя сказать наверняка», — сказал Кольцов. «Мы знаем, что существует фишинг. Мы знаем, что с этими API-ключами может случиться все, что угодно. Мы этим недовольны».

Ни одна из сторон не может окончательно доказать свою правоту: так же, как 3Commas T может с уверенностью заявить, что никогда не подвергалась взлому, ее пользователи T могут доказать, что они никогда случайно не делились своими ключами API.

Однако среди всей этой путаницы противоречивые заявления 3Commas породили больше вопросов, чем ответов.

Что случилось

Компания 3Commas, базирующаяся в Эстонии и называющая себя «крупнейшей автоматической платформой для торговли Криптo », в своей биографии в Twitter утверждает, что ее ежемесячный объем операций составляет 23 миллиарда долларов.

CoinDesk сообщил в сентябре компания привлекла $37 млн ​​в рамках финансирования серии B от Target Global, Jump Криптo и Alameda Research — связанной с SBF торговой компании, которая обанкротилась в начале этого месяца вместе с биржей FTX Bankman-Fried.

Основа деятельности 3Commas — торговые боты — программы, которые автоматически совершают сделки для пользователей на таких биржевых платформах, как Binance, Coinbase и FTX.

Чтобы бот 3Commas мог совершать сделки на такой платформе, как Coinbase, пользователь должен предоставить 3Commas ключ API — Secret учетные данные, сгенерированные биржей, которые предоставляют сторонним платформам, таким как 3Commas, разрешение на торговлю от имени пользователя.

Начиная с октября несколько пользователей 3Commas заметили, что их аккаунты на Binance, Coinbase, FTX и OKX были взломаны.

«Я получил письмо от Coinbase, в котором говорилось: «Ваш аккаунт заблокирован из-за проблем с безопасностью», — вспоминает ONE из пользователей 3Commas, предприниматель из Великобритании, в интервью CoinDesk. «Мне удалось пройти их процесс самостоятельного восстановления, который занял около шести часов. Я вошел в аккаунт и увидел, что он был скомпрометирован».

«Были десятки, десятки и десятки сделок», — сказал пользователь. «По сути, они использовали мои данные API, чтобы продать все мои активы в монету с низкой капитализацией и низкой ликвидностью». В общей сложности, по словам этого пользователя, он потерял 200 000 долларов из-за эксплойта.

Более десятка пользователей заявили, что стали жертвами подобных атак, которые повторялись WAVES в течение октября и ноября.

В сообщениях, рассмотренных CoinDesk, агенты службы поддержки Binance и Coinbase подтвердили нескольким пользователям, что их счета были украдены хакерами с помощью ключей API 3Commas.

После первой волны атак в середине октября 3Commas опубликовалазапись в блогеподтверждая, что некоторые из ключей API ее пользователей были украдены. По данным фирмы, ключи API были использованы для кражи более 6 миллионов долларов — эта цифра могла бы увеличиться с последующими атаками в ноябре.

3Commas заявила, что внутреннее расследование не нашло никаких доказательств того, что ее платформа была взломана. Вместо этого фирма пришла к выводу, что пользователи, должно быть, непреднамеренно поделились своими учетными данными API с фишинговыми сайтами.

«Самая типичная фишинговая афера, как и та , что обсуждается сегодня, заключается в том, что вы выдаете себя за законную компанию с помощью электронной почты или других средств и заставляете пользователя кликнуть на клонированный веб-сайт, который очень похож на интерфейс, знакомый пользователю, но с немного другим URL», — написал генеральный директор 3Commas Юрий Сорокин. «Пользователь вводит свои данные для входа, а затем этот пользователь и законный сервис, с которым он пытается взаимодействовать, испытывают значительный стресс и боль».

Слухи об утечке 3Commas

Не все поверили объяснениям 3Commas относительно произошедшего, и в сети начали распространяться слухи о том, что 3Commas использует историю о «фишинговом мошенничестве», чтобы скрыть свою уязвимость.

Спекуляции о чем-то более грязном усилились 14 ноября, когда Чанпэн «CZ» Чжао, генеральный директор Binance, крупнейшей в мире Криптo биржи по объему, упомянул 3Commas в своем твит: «Мы [sic] видели по крайней мере 3 случая, когда пользователи делились своим ключом API со сторонними платформами (Skyrex и 3commas), и наблюдали неожиданную торговлю на своих счетах. Если вы раньше использовали такую платформу, я настоятельно рекомендую вам удалить свои ключи API, просто чтобы обезопасить себя».

Сорокин прокомментировал слухи об утечке в сообщении в блоге от 15 ноября под названием «RE: Ложные слухи об утечках API или раскрытии нашей базы данных». В верхней части сообщения он повторил, что «трейдеры 3Commas в безопасности».

Что касается слухов о взломе платформы, Сорокин назвал их «совершенно беспочвенными обвинениями, выдвигаемыми в социальных сетях лицами, которые T понимают, как на самом деле работает шифрование API-ключей».

Это конкретное заявление задело нескольких пользователей 3Commas, которые потеряли средства неправильным образом. Пользователи, которые считают, что их учетные данные были слиты фирмой, организовали группу Telegram. Многие из группы из 18 человек утверждали, что являются опытными пользователями Криптo , и по крайней мере двое назвали себя инженерами-программистами.

Все, с кем общался CoinDesk , утверждали, что не обнаружили в истории своих браузеров фишинговых сайтов 3Commas.

Участники группы, с которыми пообщался CoinDesk , рассказали, что они также приняли дополнительные меры предосторожности — например, добавили официальный сайт 3Commas в закладки и настроили двухфакторную аутентификацию для защиты своих учетных записей.

Фишинговые мошенничества обычно работают, обманывая пользователей, заставляя их копировать и вставлять конфиденциальные учетные данные на поддельный сайт.

ONE турецкий инженер, потерявший 300 000 долларов из-за инцидента с API 3Commas, сообщил, что подключил свой аккаунт биржи Binance к 3Commas с помощью сервиса «Fast API». По данным Binance, сервис Fast API полностью устраняет необходимость в копировании-вставке — он бы подключил 3Commas к Binance, не требуя от пользователя ручного ввода кода API.

Если этот пользователь никогда не вставлял вручную учетные данные API куда-либо, как он утверждает в группе Telegram, то не совсем понятно, как его могли обмануть.

«[3Commas] знал об этом около месяца, и они могли бы предпринять более решительные действия», — сказал британский предприниматель CoinDesk. «Они опубликовали сообщения в блоге без каких-либо прямых предупреждений, и все предупреждения — это партийная линия, что клиентов фишили, чтобы получить данные API. Но их заявление просто T выдерживает критики».

Участники группы «Проблема утечки 3Commas» начали заваливать сервер компании в Discord, страницу в Twitter и группы в Telegram вопросами, просьбами о большей прозрачности и обвинениями в нечестности платформы.

3Commas, со своей стороны, забанил некоторых недовольных пользователей в своем Discord и начал закрывать чаты Telegram, распространяя слухи о том, что платформа была взломана. «Теперь мы обязаны закрыть групповые чаты Telegram, поскольку видим, что некоторые участники доказывают [sic] вводящую в заблуждение и ложную информацию, что является уголовным преступлением», — Сорокинтвитнул.

Устанавливаем истинную причину

Поскольку пользователи продолжают задавать 3Commas вопросы, компания, похоже, отказывается от своего утверждения о том, что фишинг был единственным объяснением того, как пользователи потеряли свои средства.

В18 ноября твит, первая позиция 3Commas была недвусмысленной: «За последний месяц было зафиксировано несколько случаев несанкционированных сделок на партнерских биржах. Мы установили, что доступ к API-ключам этих пользователей осуществлялся с помощью различных методов фишинга и кражи входных данных».

В подтверждение своего заявления о том, что атака была результатом фишинга, а не утечки, 3Commas опубликоваласкриншоты в свой блогпоказывая, что за последние недели появилось несколько десятков поддельных версий его сайта. Несколько из этих фишинговых сайтов, по-видимому, были выведены в топ Google выше настоящего сайта 3Commas — разочаровывающе распространенная тактика в мире криптофишинговых мошенничеств.

Но в своем интервью CoinDesk позднее на этой неделе Корцов был более осторожен в отношении того, что произошло на самом деле. «Мы не можем быть уверены на 100%. Мы точно знаем, что существуют фишинговые сайты. Но также, когда вы спрашиваете пользователя, большинство из них говорят... „Я никогда нигде не ронял свои ключи“». Что касается опровержений пользователей, «нет никакой возможности это проверить», — сказал Корцов.

Сага API 3Commas продолжается. Обе стороны, похоже, убеждены в своей правоте, но ни одна из них не может предоставить доказательства, однозначно подтверждающие произошедшее.

Компания 3Commas призвала пользователей генерировать новые API-коды в качестве меры предосторожности и сообщила, что обновила свое приложение, чтобы затруднить реализацию фишинговых мошенничеств в будущем.

В заявлении, переданном CoinDesk, юридическая команда 3Commas сообщила, что фирма находится в процессе найма внешних экспертов для проверки своего кода и окончательного урегулирования вопросов для пользователей. В то же время они заявили: «Лишь незначительная часть пользователей сообщила об аномальной активности в 3Commas. 99,9% ключей API, хранящихся в базе данных 3Commas, не были затронуты атаками».

Но юридическая команда, как и Кольцов, воздержалась от односторонних заявлений о том, что пользователи подверглись фишингу. Согласно заявлению, 3Commas утверждает, что не виновата в украденных средствах «насколько нам известно на данный момент».