Seorang pengguna Twitter anonim mengaku telah memperoleh sekitar 100.000 kunci API milik pengguna layanan perdagangan kripto 3Commas. Pembocor menerbitkan lebih dari 10.000 kunci pada hari Rabu dan mengatakan sisanya “akan dipublikasikan secara penuh [sic] secara acak dalam beberapa hari mendatang.”
Kebocoran tersebut terjadi setelah lusinan pengguna 3Commas mengklaim bahwa kunci API mereka digunakan untuk mengeksekusi perdagangan di bursa seperti Binance, KuCoin, dan Coinbase tanpa persetujuan mereka. Seperti yang dilaporkan CoinDesk sebelumnya, 3Commas mengonfirmasi bahwa pengguna kehilangan setidaknya $6 juta karena penyerang mulai bulan Oktober, tetapi jumlah tersebut setidaknya meningkat dua kali lipat dalam beberapa minggu terakhir menurut pengguna yang berbicara dengan CoinDesk.
3Commas awalnya mengatakan kepada CoinDesk bahwa kerugian tersebut berasal dari serangan phishing, namun penggunanya – lebih dari 50 di antaranya telah mengorganisir diri mereka ke dalam obrolan grup Telegram – bersikeras bahwa kredensial mereka pasti telah dibocorkan oleh 3Commas atau bursa seperti Binance atau Coinbase.
Basis data yang bocor, jika asli, adalah bukti paling jelas bahwa para pengguna ini mungkin benar bahwa kredensial mereka bocor. CoinDesk telah menghubungi 3Commas untuk memberikan komentar.
3Commas memungkinkan pengguna untuk mengatur bot perdagangan yang secara otomatis mengeksekusi perdagangan atas nama mereka di bursa kripto pihak ketiga. Pertukaran tersebut menghasilkan kunci API, dan pengguna memasukkan kunci tersebut ke 3Commas untuk memberikan akses aplikasi ke akun mereka. Kunci API yang disertakan dalam kebocoran minggu ini, menurut pembocor, dihasilkan di Binance dan KuCoin.
Ini adalah kisah yang berkembang.