交易机器人平台3Commas今天遭黑,黑客透过入侵3Commas 伺服器,取得总共10 万组API 登入服务的金钥。随后 3Commas 执行长证实此事,并紧急要求币安、Kucoin 等一众交易所停止授权。币安创始人CZ也发推提醒,应当立即禁用。
3Commas 10 万组API 金钥外泄
12 月29 日,加密货币机器人交易服务3Commas 遭黑,黑客透过入侵其伺服器,取得总共10 万组API 登入服务的金钥,受害范围远远超过3Commas 本身,因为包括币安、KuCoin 和其他支援机器人交易服务的交易所,都可能会被盗领资产。
在今(29)日清晨接近五点左右,3Commas 执行长Yuriy Sorokin 发推证实了大规模泄密的真实性,并表示,「我们已立即采取行动,要求币安、Kucoin 和其他支持的交易所,撤销所有与3Commas 相关的API 金钥。」
但对于私论泄露的原因,3Commas 官方先前不断表示,是由于用户进入钓鱼网站,才导致问题发生。
其执行长也补充表示,尽管内部问题是可能的,但并未在调查中找到证据。间接地表示他认为外泄是由于外部攻击导致。
3Commas 外泄金钥早已发生,链上侦探ZachXBT 曾发出警告,遭官方否认
其实早在今年10 月开始,一些3commas 用户就传出在币安、 Coinbase、 FTX 、 OKX 上的帐户传出对敲盗币的灾情,当时FTX 创办人SBF 还曾宣布提供600 万美元的一次性补偿。
当时数十名3Commas 用户指控,是因为该平台外泄了他们的API 金钥凭证,才导致黑客发动攻击窃走资金;但3Commas 执行长当时称这些指控是「虚假谣言」,直言用户是遭钓鱼才丢失资金、并特别在上月中旬发布声明强调数据库没有外泄。
此外,12 月21 日,链上侦探ZachXBT 就杠上交易API 平台3Commas,ZachXBT 表示过去几周已经有很多用户表示,他们的中心化交易所帐户出现未授权交易。
但3Commas 仍在责怪用户是因为钓鱼网站外泄API 所致。ZachXBT 表示已经汇集44 名受害者总计1480 万美元损失。他表示,这些用户并没有被钓鱼,而是API 密钥被偷了。他呼吁应停止使用该平台。
在3Commas 承认后,ZachXBT 再次翻出先前官方否认遭盗的言论,并嘲3Commas 是白痴。
币安CZ 证实此事,并提醒用户禁用3Commas
币安创办人CZ 也在稍早同步发推证实了外泄的事实,并要求用户立即禁用曾提供给 3Commas 的金钥:
我有理由相信交易机器人平台3Commas存在广泛的API密钥泄漏,如果你曾将API密钥放入3Commas(来自任何交易所),请立即禁用它。
关于3Commas
3Commas 是基于量化交易概念设计的机器人交易服务,用户需要具备基本的程式概念,设定好参数后机器人就可以完成24 小时盯盘,并自动交易。从2017 年成立至今,3Commas 用户数已超过220,000 人,交易量超过1,000 万美元,且合作的知名交易所共有18 家。
要让机器人完成交易,就必须要让电脑代替用户登入,因此用户需要将帐号、密码存在伺服器内,让3Comaas 和交易所透过API 完成安全认证,就可以进行交易。讽刺的是,3Commas 在网站安全评测网站scamadviser 的评测分数为100 分满分,这是多数网站都不能达到的分数。
原创文章,作者:惊蛰财经,如若转载,请注明出处:http://www.xmlm.net/wang/37345.html