Lep op : utilisez-vous les services de 3Commas ? Alors faites attention. Il semble qu’il y ait eu une violation de données, laissant les clés API dans la rue.
Trading bot
3Commas est un robot de trading que vous pouvez connecter à des bourses. Changpeng Zhao, le PDG de Binance, a publié une alerte sur Twitter au sujet de la possible fuite de données. Peu après, l’entreprise elle-même a publié une réponse.
Zhao a déclaré qu’il était « raisonnablement certain que des fuites importantes de clés API » ont eu lieu. Des spéculations sont apparues au sujet d’un incident survenu en octobre chez FTX.
« Je suis convaincu que @tier10k a raison ici. Si vous avez déjà placé une clé API dans 3Commas (à partir de n’importe quel échange central), éteignez-la immédiatement. »
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
Stay #SAFU.
— CZ 🔶 BNB (@cz_binance) December 28, 2022
Pendant ce temps, un porte-parole de 3Commas a confirmé à The Block que le problème était de leur côté.
Des transactions étranges
Début octobre, une enquête a été menée par 3Commas sur des choses étranges sur le FTX, aujourd’hui en faillite. Il s’est avéré que des clés API avaient été utilisées pour effectuer des transactions non autorisées pour l’épargne commerciale de DMG.
L’équipe de 3Commas en a été informée le 20 octobre. L’entreprise avait alors déclaré que les clés ne lui avaient pas été volées et qu’elles avaient probablement été obtenues par une attaque de phishing ou le piratage d’un tiers. Aujourd’hui, le porte-parole confirme qu’il s’agissait donc bien d’une fuite chez 3Commas elle-même.
L’entreprise a reçu un message du pirate et a confirmé que les données étaient authentiques. Des listes de clés API ont également circulé sur Twitter. Par la suite, 3Commas a déclaré avoir immédiatement contacté des bourses telles que Binance et Kucoin, leur demandant de « dissocier » toutes les clés de 3Commas.
La société a déclaré qu’elle n’avait trouvé aucune preuve d’un « travail de l’intérieur ».