Le PDG de Binance, Changpeng Zhao (CZ), a averti ses 8 millions d’abonnés sur Twitter le 28 décembre qu’il était « raisonnablement sûr » que des fuites de clés API avaient lieu sur la plateforme de gestion des transactions de crypto-monnaie.
Je suis raisonnablement sûr qu’il y a des fuites de clés API très répandues de 3Commas. Si vous avez déjà mis une clé API dans 3Commas (à partir de n’importe quel échange), veuillez la désactiver immédiatement.
Rester #SAFU.
– CZ Binance (@cz_binance) 28 décembre 2022
La divulgation par CZ fait suite à un incident survenu le 9 décembre, lorsque Binance a annulé le compte d’un utilisateur qui s’était plaint d’avoir perdu des fonds un jour plus tôt. Cet utilisateur a affirmé qu’une clé API divulguée liée à 3Commas avait été utilisée « pour effectuer des transactions sur des pièces à faible capitalisation afin de faire grimper le prix pour réaliser des bénéfices ». Binance a refusé de rembourser l’utilisateur. CZ a tweeté que la perte était invérifiable, et si l’entreprise compensait ces pertes « nous paierons simplement pour que les utilisateurs perdent leurs clés API ».
Mamba, il n’y a presque aucun moyen pour nous d’être sûrs que les utilisateurs n’ont pas volé leurs propres clés API. Les transactions ont été effectuées à l’aide des clés API que vous avez créées. Sinon, nous ne paierons que pour que les utilisateurs perdent leurs clés API. J’espère que tu as compris.
– CZ Binance (@cz_binance) 9 décembre 2022
Le 11 décembre, le PDG de 3Commas, Yuriy Sorokin, a affirmé sur le blog de l’entreprise que de fausses captures d’écran circulaient sur Twitter et YouTube prétendant montrer que l’entreprise avait une sécurité laxiste et que les employés volaient des clés API. Sorokin a nié les allégations dans une analyse technique approfondie des images :
« La personne qui a créé les captures d’écran a fait du bon travail avec un éditeur HTML, mais elle a commis quelques erreurs clés qui prouvent facilement que ses affirmations sont fausses. Nous les examinerons point par point.
Les problèmes de sécurité sont apparus pour la première fois chez 3Commas fin octobre. À ce moment-là, l’échange FTX toujours fonctionnel a émis une alerte de sécurité en réponse aux rapports d’utilisateurs de transactions non autorisées de paires de négociation avec la pièce DMG sur FTX. 3Commas et FTX ont déterminé que les pirates avaient créé des comptes 3Commas pour effectuer les transactions. Cependant, selon le blog 3Commas, « les clés API n’ont pas été extraites de 3Commas mais de l’extérieur de la plate-forme 3Commas ».
En relation: Comment Binance protège ses utilisateurs avec un programme de trading responsable
Dans un article de blog ultérieur, Sorokin a reconnu que « nous avons des preuves tangibles que le phishing était au moins en partie un facteur contributif » aux pertes d’utilisateurs.
Entre-temps, un utilisateur de Twitter a allégué que toutes les clés API de 3Commas avaient été divulguées.
Message d’intérêt public
La fuite de l’API 3Commas a été publiée, si vous n’avez pas déjà SUPPRIMÉ VOTRE CLÉ API pic.twitter.com/yEvrxyWBIq
— base de données (@tier10k) 28 décembre 2022
Maintenant, Sorokin a confirmé la fuite, ajoutant qu’aucune preuve n’a été trouvée que la fuite était un travail interne.
1. Déclaration de 3Commas :
Nous avons vu le message du pirate et pouvons confirmer que les données contenues dans les fichiers sont vraies. Comme action immédiate, nous avons demandé à Binance, Kucoin et aux autres échanges pris en charge de révoquer toutes les clés qui étaient connectées à 3Commas.
– Youri Sorokine (@YS_3Commas) 28 décembre 2022