CEO 3Commas Mengatakan Dia ‘Maaf’ Untuk Kebocoran API Yang Menyebabkan Banyak Peretasan

Selama berhari-hari, 3Commas, platform pertukaran cryptocurrency, bersikeras bahwa korban yang melaporkan perdagangan tidak sah di akun mereka menjadi mangsa scammers yang melakukan serangan phishing dan bukan karena dugaan kebocoran kunci API, tetapi pada hari Rabu, CEO bursa mengatakan dia “maaf ” bahwa masalahnya “sudah sampai sejauh ini”.

“Kami melihat pesan peretas dan dapat mengonfirmasi bahwa information dalam file itu benar. Sebagai tindakan segera, kami telah meminta agar Binance, Kucoin, dan bursa lain yang didukung mencabut semua kunci yang terhubung ke 3Commas,” CEO 3Commas Yuriy Sorokin katanya di akun Twitter resminya.

“Kami melakukan semua yang kami bisa untuk menyelidiki pekerjaan orang dalam, karena itu selalu merupakan skenario yang mungkin dan dalam daftar pantauan kami, tetapi bukti pekerjaan orang dalam tidak ditemukan,” tambah eksekutif tersebut, mencatat bahwa “hanya sejumlah kecil teknis karyawan memiliki akses ke infrastruktur dan kami telah mengambil tindakan sejak 19 November untuk menghapus akses mereka.”

Sorokin juga meyakinkan pelanggan bahwa 3Commas telah menerapkan “langkah-langkah keamanan baru” dan akan meluncurkan “penyelidikan penuh yang melibatkan penegakan hukum.”

CEO lebih lanjut berkata, “Kami mohon maaf karena ini sudah sejauh ini dan akan terus transparan dalam komunikasi kami seputar situasi ini.”

Pernyataan Sorokin mengemuka setelah seorang pengguna Twitter anonim mengklaim telah mendapatkan sekitar 100.000 kunci API milik pengguna 3Commas dan pada akhirnya akan mempublikasikannya secara on-line.

Seorang pengguna Twitter dan detektif on-chain yang menggunakan pegangan @zachxbt mengonfirmasi kebocoran tersebut dan kemudian dengan sinis mengatakan kepada 3Commas: “Selamat, Anda bodoh, apa yang salah dengan ruang tersebut.”

Sekarang, pertanyaan terbesarnya adalah, bagaimana mereka mendapatkan lebih dari 100.000 kunci API dari pengguna 3Commas?

Posting Pastebin, mungkin dibuat oleh mereka yang memiliki kunci API, mengklaim bahwa pertukaran crypto diduga menjual information pengguna kepada penawar tertinggi dan bukan hasil dari eksploitasi kode. Untuk membuktikan bahwa mereka memiliki kunci API tersebut, mereka membagikan sejumlah kecil information tentang kunci API yang bocor dan mencatat bahwa mereka akan segera menerbitkan 100.000 kunci lagi.

“Perdagangan API disediakan oleh staf 3commas. Kami memiliki seluruh foundation information. Kami akan membocorkannya setelah kami selesai memfilter informasi pribadi Anda, sehingga orang tidak tertipu, kami hanya akan merilis kunci API,” baca postingan tersebut, yang sejak itu telah dihapus.

Korban peretasan, yang disebabkan oleh kunci API yang bocor, meminta pengembalian uang dan permintaan maaf dari perusahaan karena menyangkal seluruh kegagalan sebelumnya.