Անցյալ շաբաթ մի խումբ առևտրականներ ասացին 22 միլիոն դոլար արժողությամբ կրիպտո է գողացվել 3Ստորակետ առևտրային հարթակից վտանգված API ստեղների միջոցով: Չորեքշաբթի օրը 3Commas-ը խոստովանեց, որ դա եղել է API-ի այդ արտահոսքի աղբյուրը:
Հայտարարությունը հնչել է այն բանից հետո, երբ Twitter-ի անանուն օգտատերը ձեռք է բերել 100,000Commas-ի օգտատերերին պատկանող շուրջ 3 API բանալի և այն հրապարակել առցանց:
3Ստորակետն ի սկզբանե պնդում էր, որ դրա վերջում անվտանգության խնդիր չկա, իսկ համահիմնադիր Յուրի Սորոկինը Twitter-ում բազմիցս առաջարկել է, որ ֆիշինգային հարձակումը ստիպել է օգտատերերին հրաժարվել իրենց տվյալներից:
Բայց չորեքշաբթի օրը Սորոկինը թվիթերում գրեց. «Մենք տեսանք հաքերի հաղորդագրությունը և կարող ենք հաստատել, որ ֆայլերի տվյալները ճշմարիտ են… Մենք ցավում ենք, որ դա այդքան հեռուն է հասել և կշարունակի թափանցիկ լինել իրավիճակի շուրջ մեր հաղորդակցության մեջ»:
3Commas-ը հարթակ է, որը թույլ է տալիս օգտատերերին միացնել կրիպտո փոխանակման բազմաթիվ հաշիվներ, ինչպիսիք են Binance-ում պահվողները, ավտոմատացված առևտրային ծրագրերին: Այս ամենը կատարվում է API-ների (կիրառական ծրագրավորման ինտերֆեյսների) միջոցով՝ ստանդարտացված մեխանիզմների, որոնք հնարավորություն են տալիս առանձին ծրագրային բաղադրիչներին շփվել միմյանց հետ և կատարել առաջադրանքներ: Գաղափարն այն է, որ մարդիկ ստիպված չեն ծանր աշխատանք կատարել՝ մտածելով իրենց արհեստների մասին: Փոխարենը, ամեն ինչ կատարվում է ակնթարթորեն և ավտոմատ կերպով կոդի միջոցով:
Քանի դեռ սխալ մարդիկ մուտք չեն գործել API-ներ:
Բլոկչեյն սլեյթ @ZachXBT Ավելի վաղ Twitter-ում հայտնել էր, որ ստուգել է 44 զոհերից բաղկացած խումբը, որոնք ընդհանուր առմամբ կորցրել են 14.8 միլիոն դոլար՝ 3Ստորակետից գողացված API ստեղների միջոցով:
Ի պատասխան՝ Սորոկինը թվիթերում գրել է, որ «Եթե դու զոհ ես, ապա դա նշանակում է, որ ինչ-որ կերպ քո բանալիները արտահոսել են», բայց «ոչ 3 ստորակետից»։ Եթե արտահոսած API ստեղները լինեին 3Ստորակետից, «դուք կտեսնեիք միլիոնավոր դեպքեր, ոչ թե հարյուր», - պատճառաբանեց նա:
Է առանձին շղթա, նա պայթեցրեց «անգործունակությունը խոշոր լրատվամիջոցների աղբյուրներից» և կասկածի տակ դրեց վտանգի ենթարկված հաշիվների բազմաշերտ աղյուսակի վավերականությունը: «Ուշադրություն դարձրեք, որ կորուստներ արձանագրող օգտատերերի մեծամասնությունը բորսայի հետ նույնիսկ աջակցության տոմս չի բացել և չի դիմել ոստիկանություն», - գրել է Սորոկինը Twitter-ում: «Ինչպե՞ս է ստուգվել այս տեղեկությունը»։
Կրկին նա պնդեց որ շատ քիչ միջադեպեր են եղել, որպեսզի այն լիներ 3Ստորակետի շահագործում: «Կա ավելի քան 1 [միլիոն] բանալի՝ կապված 3 ստորակետերի հետ, որոնց մոտ 100 օգտատեր հայտնում է իրենց հաշիվների հետ կապված խնդիրների մասին», - գրել է Սորոկինը թվիթերում։. «Ինչո՞ւ դա տեղի ունենար, եթե [տվյալների բազան] արտահոսեր»:
Այսօր արդարացված ZachXBT-ն թվիթերում գրեց, որ «շաբաթներ շարունակ [3Ստորակետերը] մեղադրում են իր օգտատերերին և ընդունում զրոյական պատասխանատվություն»:
«Դուք շարունակեցիք ստել և ասել, որ դա մեր մեղքն է, պատասխանատվություն վերցնելու փոխարեն և կանխեցիք հետագա սխրանքները», - ավելացրեց. @CoinMamba, 3Commas-ի մեկ այլ օգտվող, ով ասաց, որ կորցրել է միջոցները: «Հիմա պատրաստվու՞մ եք վերադարձնել օգտատերերին գումարը»:
Սա առաջին դեպքը չէ, երբ 3Commas-ը և դրա API-ի մշակումը ենթարկվում են հսկողության: FTX-ի սնանկության դիմումը ներկայացնելուց մոտ մեկ ամիս առաջ Սեմ Բենքմեն-Ֆրիդը համաձայնեց վերադարձնել 6 միլիոն դոլար այն հաճախորդներին, որոնք տուժել էին այն, ինչ նկարագրված էր որպես ֆիշինգի խարդախություն ներառում է 3 ստորակետ:
Չորեքշաբթի օրը, Binance-ի գործադիր տնօրեն Չանգպեն Չժաոն թվիթերում գրեց, որ ինքը «հիմնավորապես վստահ է», որ եղել են «համատարած API բանալիների արտահոսք» 3Commas-ից:
CZ-ն ավելացրել է, որ օգտատերերը պետք է անջատեն իրենց API ստեղները 3Ստորակետում: Սա այն է, ինչ այժմ առաջարկում է նաև 3Commas-ը:
«Որպես անհապաղ գործողություն, մենք խնդրել ենք, որ Binance-ը, Kucoin-ը և այլ աջակցվող փոխանակումները չեղյալ համարեն բոլոր ստեղները, որոնք միացված էին 3Ստորակետին», - գրել է Սորոկինը Twitter-ում:
3Commas-ը չի պատասխանել լրացուցիչ մեկնաբանությունների խնդրանքին Հերքել.
Տեղեկացեք կրիպտո նորությունների մասին, ստացեք ամենօրյա թարմացումներ ձեր մուտքի արկղում:
Աղբյուր՝ https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
