加密货币交易机器人服务3Commas,能够串接币安、Coinbase等交易平台为用户自动执行交易,广受投资者欢迎。
但在昨(28)日深夜,一位匿名Twitter用户声称已经获得了大约10万个属于3Commas用户的API密钥,并且已公布了其中10,000多个密钥,并表示剩余资料将在未来几天随机、完整的公开。
3Commas执行长证实外泄
在今(29)日清晨接近五点左右,3Commas执行长Yuriy Sorokin发推证实了大规模泄密的真实性,并说道:我们已立即采取行动,要求币安、Kucoin和其他支持的交易所,撤销所有与3Commas相关的API密钥。
同时他补充表示,该公司已尽其所能的调查内部犯罪的可能性,但表示目前没有找到相关的证据;间接地表示他认为外泄是由于外部攻击导致。
CZ:证实外泄事实,请用户立即停用
案件发生的当下,币安创办人CZ也在稍早同步发推证实了外泄的事实,并要求用户立即禁用曾提供给3Commas的密钥:我可以合理地确定3Commas出现广泛的API密钥泄漏。如果您曾经生成API密钥用于3Commas(来自任何交易所),请立即将其禁用。
受害者早就指控是3Commas外泄密钥
其实早在今年10月开始,一些3commas用户就传出在币安、Coinbase、FTX、OKX上的账户传出对敲盗币的灾情,当时FTX创办人SBF还曾宣布提供600万美元的一次性补偿。
当时数十名3Commas用户指控,是因为该平台外泄了他们的API密钥凭证,才导致黑客发动攻击窃走资金;但3Commas执行长当时称这些指控是「虚假谣言」,直言用户是遭钓鱼才丢失资金、并特别在上月中旬发布声明强调数据库没有外泄。
但今日外流的种种资料,可说是明确的打脸了3commas,表明金钥外泄更可能是发生于该平台,而不是用户遭钓鱼导致。