3Commas首席执行官在CZ发出警告后确认API密钥泄漏

币安首席执行官不太接受本月早些时候因 3Comma API 密钥泄露而造成的损失索赔;现在他建议禁用 3Comma API 密钥。

币安首席执行官赵长鹏(CZ)在12月28日警告他的800万Twitter粉丝，他“合理地确定”API密钥泄漏正在加密货币交易管理平台上发生。

我有理由确定 3Commas存在广泛的 API 密钥泄漏。如果您曾经在 3Commas(来自任何交易所)中放置过 API 密钥，请立即禁用它。

保持#SAFU。

— CZ 币安 (@cz_binance) 2022 年 12 月 28 日

CZ的披露是在12月9日发生的一起事件之后发生的，当时币安取消了一名抱怨一天前失去资金的用户的账户。该用户声称，与3Commas相关的泄露API密钥被用来“在低帽硬币上进行交易，以推高价格以获利”。币安拒绝偿还用户。CZ在推特上表示，损失是无法核实的，如果该公司弥补了这些损失，“我们只会为用户丢失API密钥付费。

Mamba，我们几乎没有办法确保用户没有窃取自己的API密钥。交易是使用您创建的API密钥完成的。否则，我们只会为用户丢失其 API 密钥付费。希望你能理解。

— CZ 币安 (@cz_binance) 2022 年 12 月 9 日

12月11日，3Commas首席执行官尤里·索罗金(Yuriy Sorokin)在公司博客上声称，Twitter和YouTube上流传着虚假截图，声称该公司的安全性松懈，员工正在窃取API密钥。索罗金在对图像的深入技术分析中否认了这些指控：

“创建屏幕截图的人在HTML编辑器方面做得很好，但他们犯了一些关键错误，很容易证明他们的说法是假的。我们将逐点介绍这些内容。

安全问题首次出现在 10 月下旬的 3Commas。当时，仍在运作的FTX交易所发布了安全警报，以响应用户在FTX上使用DMG硬币进行未经授权的交易对的报告。3Commas和FTX确定黑客创建了3Commas帐户来执行交易。然而，根据3Commas博客，“API密钥不是从3Commas获取的，而是从3Commas平台外部获取的。

在随后的一篇博客文章中，Sorokin承认“我们有确凿的证据表明，网络钓鱼至少在某种程度上是用户流失的一个促成因素”。

与此同时，一位Twitter用户声称3Commas的所有API密钥都已泄露。

PSA

3逗号API泄漏已发布，如果您尚未删除API密钥 pic.twitter.com/yEvrxyWBIq

— db (@tier10k) 2022 年 12 月 28 日

现在，索罗金已经确认了泄漏，此外，没有发现任何证据表明泄漏是内部工作。

1. 来自 3Commas的声明：

我们看到了黑客的消息，可以确认文件中的数据是真实的。作为立即行动，我们已要求币安、Kucoin和其他支持的交易所撤销所有连接到3Commas的密钥。

— 尤里·索罗金