加密货币交易机器人服务3Commas能够在币安、Coinbase、FTX等交易平台上为用户自动执行交易,但用户必须提供3Commas一个API密钥凭证。该凭证由交易所生成,交易所则授予3Commas等第三方平台代表用户执行交易的权限。
然而,今年10月开始,一些3commas用户在币安、Coinbase、FTX、OKX上的账户均传出对敲盗币事件,FTX用户因而损失600万美元,当时FTX创办人Sam Bankman-Fried(SBF)曾宣布提供600万美元的一次性补偿。
针对发生此窃盗事故的原因,数十名3Commas用户指控,是因为3Commas外泄了他们的API密钥凭证,导致黑客发动攻击窃走资金,但据Coindesk报导,3Commas执行长称这些指控是「虚假谣言」,并称是用户被网络钓鱼而丢失资金。
3Commas副技术长Artem Koltsov则表示:非常令人沮丧的事情是,目前没有什么是可以肯定的,我们知道有存在网络钓鱼,我们知道那些API密钥什么都有可能发生,我们对此并不开心。
受害者、3Commas各说各话
迄今为止,受害者、3Commas双方都无法明确证明自己的论点,3Commas无法确认自身从未受到黑客攻击,同样的是,3Commas用户也无法证明自己从未意外地与他人共享过API密钥。
并非每个人都相信3Commas的解释,网络上盛传,3Commas是刻意利用「网络钓鱼骗局」故事,来掩盖其漏洞。对此,3Commas特别在15日发布「API泄露或本平台数据库外泄的谣言」声明予以驳斥,重申其数据库没有API外泄,并强调3Commas用户是安全的。
但此声明惹恼了3Commas受害用户,多名受害者已组成Telegram群组,在一个18人群组中,许多人都声称自己是经验丰富的用户,其中至少有两人是软件工程师,而与Coindesk交谈过的所有人都坚称,他们在浏览器历史中,未发现与3Commas相关的钓鱼网站。
3Commas法律团队表示,正聘请外部专家审查其代码,并最终为用户解决问题,但3Commas不应该为被盗资金负责。