CEO Binance Changpeng Zhao (CZ) memperingatkan 8 juta pengikut Twitternya pada 28 Desember bahwa dia “cukup yakin” bahwa kebocoran kunci API sedang terjadi di platform administrasi perdagangan cryptocurrency.
Saya cukup yakin ada kebocoran kunci API yang terungkap dari 3Commas. Jika seandainya Anda pernah meletakkan kunci API di 3Commas (dari perubahan apa pun), harap nonaktifkan secara instan.
Tetap #SAFU.
— CZ Binance (@cz_binance) 28 Desember 2022
Pengungkapan oleh CZ mengikuti insiden pada 9 Desember, ketika Binance membatalkan akun pengguna yang mengeluh tentang kehilangan dana sehari sebelumnya. Konsumen itu mengklaim kunci API yang bocor terkait dengan 3Commas digunakan “untuk melakukan perdagangan dengan uang tunai rendah untuk meningkatkan nilai untuk menghasilkan pendapatan.” Binance menolak untuk mengembalikan uang konsumen. CZ tweeted bahwa kerugian itu tidak dapat diverifikasi, dan jika perusahaan menebus kerugian tersebut “kami hanya akan membayar pelanggan untuk kehilangan kunci API mereka.”
Mamba, hampir tidak ada cara bagi kami untuk memastikan pengguna tidak mencuri kunci API mereka sendiri. Perdagangan telah dieksekusi menggunakan kunci API yang Anda buat. Jika tidak, kami hanya akan membayar pelanggan untuk kehilangan kunci API mereka. Semoga Anda mengerti.
— CZ Binance (@cz_binance) 9 Desember 2022
Pada 11 Desember, CEO 3Commas Yuriy Sorokin mengklaim di blog perusahaan bahwa tangkapan layar palsu telah beredar di Twitter dan YouTube yang dimaksudkan untuk menunjukkan bahwa perusahaan memiliki keamanan yang lemah dan staf telah mencuri kunci API. Sorokin membantah tuduhan tersebut dalam evaluasi teknis mendalam atas foto-foto tersebut:
“Orang yang membuat tangkapan layar melakukan pekerjaan yang bagus dengan editor HTML, tetapi mereka hanya membuat beberapa kesalahan utama yang menunjukkan bahwa klaim mereka palsu. Kami akan menjalani ini level demi level.”
Poin keamanan pertama kali muncul di 3Commas pada akhir Oktober. Saat ini, perubahan FTX yang masih berfungsi mengeluarkan peringatan keamanan sebagai tanggapan atas cerita dari pelanggan tentang perdagangan tidak sah untuk membeli dan menjual pasangan dengan koin DMG di FTX. 3Commas dan FTX memutuskan bahwa peretas telah membuat akun 3Commas untuk melakukan perdagangan. Namun, menurut blog 3Commas, “kunci API tidak diambil dari 3Commas tetapi dari luar platform 3Commas.”
Terkait: Bagaimana Binance membela pelanggannya dengan program jual beli yang akuntabel
Dalam posting blog berikutnya, Sorokin mengakui bahwa “kami memiliki bukti kuat bahwa phishing setidaknya merupakan bagian dari faktor yang berkontribusi” dalam kerugian pengguna.
Sementara itu, pengguna Twitter menuduh bahwa semua kunci API 3Commas telah bocor.
PSA
Kebocoran API 3Commas telah terungkap, jika Anda belum HAPUS KUNCI API ANDA pic.twitter.com/yEvrxyWBIq
— db (@tier10k) 28 Desember 2022
Sekarang, Sorokin telah mengkonfirmasi kebocoran tersebut, ditambah lagi tidak ditemukan bukti bahwa kebocoran tersebut adalah pekerjaan orang dalam.
1. Penegasan dari 3Commas:
Kami melihat pesan peretas dan mungkin menegaskan bahwa informasi dalam data catatan itu benar. Sebagai tindakan instan, kami sekarang telah meminta agar Binance, Kucoin, dan bursa lain yang didukung mencabut semua kunci yang terkait dengan 3Commas.
— Yuriy Sorokin (@YS_3Commas) 28 Desember
