加密貨幣平臺 3Commas 承認：黑客竊取了 API 密鑰

一位匿名的推特用戶近日公布了一組據稱從 3Commas 加密貨幣交易平臺獲得的 10000 個 API 密鑰。

3Commas 機器人程序使用這些 API 密鑰，通過與諸多加密貨幣交易所進行交互為客戶創造利潤，不需要帳戶憑據，即可代表用戶執行自動化的投資和交易操作。

這名推特用戶聲稱，泄露的 API 密鑰只是他們持有的 10 萬個 API 密鑰當中的 10%，并表示他們計劃在接下來的幾天悉數公布。

3Commas 調查了泄露的數據，近日確認文件包含有效的 API 密鑰。因此，該平臺現在敦促所有支持的交易所吊銷所有與 3Commas 關聯的密鑰，包括庫幣（Kucoin）、Coinbase 和幣安（Binance）。

建議用戶在所有關聯的交易所上自行重新分發密鑰，并聯系 3Commas 支持人員，根據具體情況獲得后續行動方面的建議。

此外該平臺聲稱，它已經調查了泄漏系內鬼作案的可能性，但沒有發現這方面的任何證據。

3Commas 在推特上宣稱：" 只有一小部分的技術員工訪問了基礎設施；自 11 月 19 日以來，我們已經采取措施取消了他們的訪問權限。"

該公司補充道：" 從那時起，我們實施了新的安全措施，我們不會就此止步；我們正在展開全面調查，執法部門將參與其中。"

遺憾的是，3Commas 花了很長時間才確認這起泄密事件；在過去幾個月里，許多用戶的賬戶似乎未經授權進行了交易，他們已經損失了資金。

幣安 CEO 透露更多信息

12 月 28 日，加密貨幣交易所幣安首席執行官趙長鵬在推特上對其 800 萬粉絲表示，他對該平臺上發生的 API 密鑰泄露一事 " 相當樂觀 "。他還對那些因本月早些時候 3Commas API 密鑰泄露而蒙受經濟損失的人寄予同情。但他已經建議該服務的客戶停止使用。

趙長鵬的爆料發生在 12 月 9 日的事件之后，當天幣安暫停了一位前一天抱怨賠錢的用戶的賬戶。該用戶聲稱 " 低上限幣的交易以推高價格從而獲利 " 是使用被盜的 3Commas API 密鑰進行的。幣安表示，他們不會向該用戶補償損失。

12 月 11 日，3Commas 首席執行官 Yuriy Sorokin 在企業博客上聲稱，推特和 YouTube 上瘋傳的屏幕截圖顯示，該公司的安全措施不到位，員工在獲取 API 密鑰。Sorokkin 對這些截圖進行了徹底的技術調查，駁斥了這些說法。

之前矢口否認

首次傳聞通過 3Commas 觸發未經授權的交易出現在 2022 年 10 月，近幾周更是甚囂塵上。

11 月，大量加密貨幣的持有者報告稱，在 3Commas 以某種方式泄露用戶憑據后，他們損失了價值大約 600 萬美元的加密貨幣。

在這段時間里，這個交易平臺拒絕考慮泄密的可能性，表示報告這些問題的用戶肯定是網絡釣魚攻擊的受害者，或者使用了非官方的木馬應用程序。

2022 年 12 月 10 日，在隨后陸續有人聲稱使用泄露的 API 密鑰進行未經授權交易之后，3Commas 發布了一份調查最新通報，聲稱沒有發現其系統遭到攻擊的證據。

第二天，該平臺發布了一篇新文章，駁斥了其員工竊取用戶 API 密鑰以盜取用戶資產的說法。

3Commas 用戶聲稱存在未經授權的交易，卻遭到該公司的斷然拒絕，如今他們要求全額退款。

截至發稿時，3Commas 尚未就可能的賠償做出任何聲明。IT 安全外媒 BleepingComputer 已經聯系該公司澄清這方面的問題，正在等待對方回復。