Un usuario anónimo de Twitter ha obtenido alrededor de 100.000 claves API pertenecientes a usuarios del servicio de comercio de criptomonedas 3Commas. El filtrador publicó más de 10,000 de las claves el miércoles y dice que el resto «se publicará completo, al azar en los próximos días».
El CEO de 3Commas, Yuriy Sorokin, confirmó la autenticidad de la filtración en un tuit el miércoles y agregó que «como acción inmediata, hemos pedido que Binance, Kucoin y otros intercambios respaldados revoquen todas las claves [API] que estaban conectadas a 3Commas».
1. Statement from 3Commas:
We saw the hacker’s message and can confirm that the data in the files is true. As an immediate action, we have asked that Binance, Kucoin, and other supported exchanges revoke all the keys that were connected to 3Commas.
— Yuriy Sorokin (@ysoro13) December 28, 2022
Usaron las claves sin el consentimiento de los clientes
La filtración se produce después de que decenas de usuarios de 3Commas afirmaran que sus claves API se utilizaron para ejecutar operaciones en intercambios como Binance, KuCoin y Coinbase sin su consentimiento. Anteriormente, 3Commas confirmó que los usuarios perdieron al menos $ 6 millones a causa de los atacantes a partir de octubre, pero esa suma al menos se duplicó en las últimas semanas según los usuarios.
El volcado de datos del miércoles es la evidencia más clara hasta ahora de que las credenciales fueron filtradas en lugar de suplantadas. Múltiples usuarios de 3Commas confirmaron que pudieron encontrar sus claves API entre las que compartió el filtrador.
En su tuit, Sorokin de 3Commas señaló que él y su compañía «hicieron todo lo posible para investigar un trabajo interno, ya que siempre fue un escenario posible y estaba en nuestra lista de vigilancia, pero no se encontraron pruebas de un trabajo interno».
Antes de que 3Commas hiciera su declaración, el CEO de Binance, Changpeng Zhao, advirtió a los usuarios el miércoles por la tarde que «si alguna vez pusieron una clave API en 3Commas (de cualquier intercambio), deshabilítenla de inmediato».
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
Stay #SAFU.
— CZ 🔶 BNB (@cz_binance) December 28, 2022
CEO de 3Commas se negó a las acusaciones
El 11 de diciembre, el CEO de 3Commas, Yuriy Sorokin, afirmó en el blog de la empresa que en Twitter y YouTube circulaban capturas de pantalla falsas que pretendían mostrar que la empresa tenía poca seguridad y que los empleados estaban robando claves API. Sorokin negó las acusaciones en un profundo análisis técnico de las imágenes:
“La persona que creó las capturas de pantalla hizo un buen trabajo con un editor de HTML, pero cometió algunos errores clave que prueban fácilmente que sus afirmaciones son falsas. Los revisaremos punto por punto”.
Los problemas de seguridad surgieron por primera vez en 3Commas a fines de octubre. En ese momento, el intercambio FTX, que aún funcionaba, emitió una alerta de seguridad en respuesta a los informes de los usuarios de intercambios no autorizados de pares comerciales con la moneda DMG en FTX. 3Commas y FTX determinaron que los piratas informáticos habían creado cuentas de 3Commas para realizar las transacciones. Sin embargo, según el blog de 3Commas, «las claves API no se tomaron de 3Commas sino de fuera de la plataforma de 3Commas».
En una publicación de blog posterior, Sorokin reconoció que «tenemos pruebas sólidas de que el phishing fue, al menos en parte, un factor que contribuyó» a las pérdidas de usuarios.
Mientras tanto, un usuario de Twitter ha alegado que se han filtrado todas las claves API de 3Commas.
PSA
3Commas API leak has been published, if you haven't already REMOVE YOUR API KEY pic.twitter.com/yEvrxyWBIq
— db (@tier10k) December 28, 2022
3Commas permite a los usuarios configurar bots comerciales que ejecutan automáticamente transacciones en su nombre en intercambios criptográficos de terceros. Esos intercambios generan claves API y los usuarios conectan esas claves en 3Commas para otorgar acceso a la aplicación a sus cuentas. Las claves API incluidas en la filtración de esta semana fueron, según el filtrador, generadas en Binance y KuCoin.
