CEO da 3Commas confirma vazamento de banco de dados de API

Depois de alegar por dias que os usuários da plataforma haviam acabado de cair em golpes de phishing, o CEO da 3Commas finalmente admitiu que as chaves de API comprometidas estavam por trás da perda de fundos.
Chaves de API do usuário comprometidas
A 3Commas admitiu que a plataforma foi comprometida na quarta-feira depois que um usuário anônimo do Twitter publicou cerca de 100.000 chaves de API pertencentes aos usuários. No entanto, há rumores no blockchain de que o banco de dados API da plataforma está comprometido há algum tempo. Na semana passada, houve notícias de fundos criptográficos no valor de US$ 22 milhões sendo desviados por meio dessas chaves de API comprometidas. Naquela época, o CEO da plataforma afirmou que a perda de fundos aconteceu devido às más decisões tomadas por alguns usuários que caíram em golpes de phishing. No entanto, dezenas de usuários alegaram que suas chaves de API foram usadas para executar negociações em bolsas como Binance, KuCoin e Coinbase sem o seu consentimento.
Não é um trabalho interno
Com a confirmação do comprometimento do banco de dados da API, no entanto, o CEO Yuriy Sorokin foi forçado a engolir suas palavras e admitir o verdadeiro problema com a plataforma. Na quarta-feira, ele twittou,
“Vimos a mensagem do hacker e podemos confirmar que os dados nos arquivos são verdadeiros. Como ação imediata, pedimos que Binance, Kucoin e outras exchanges suportadas revogassem todas as chaves que estavam conectadas à 3Commas.”
Sorokin também revelou que a equipe está investigando a possibilidade de um trabalho interno, devido à natureza do hack; no entanto, nenhuma evidência desse tipo foi descoberta. Suspeitou-se de trabalho interno porque um número muito pequeno de funcionários técnicos tinha acesso à infraestrutura. Sorokin afirmou que o acesso deles foi removido desde 19 de novembro.
3Commas falhou ao evitar comprometimento da API
A plataforma 3Commas permite que os usuários vinculem mais de uma conta mantida em diferentes exchanges de criptomoedas a software de negociação automatizado por meio de interfaces de programação de aplicativos ou APIs. No entanto, se partes indesejadas obtiverem essas chaves de API, elas poderão controlar todas as contas vinculadas e drenar fundos, que foi exatamente o que aconteceu nesta situação.
Sorokin falou sobre focar na implementação de medidas de segurança mais rígidas para evitar a repetição deste incidente. Ele twittou,
“Desde então, implementamos novas medidas de segurança e não vamos parar por aí; estamos lançando uma investigação completa envolvendo a aplicação da lei. Lamentamos que isso tenha chegado tão longe e continuaremos a ser transparentes em nossas comunicações sobre a situação.”