加密货币平台 3Commas 承认：黑客窃取了 API 密钥

一位匿名的推特用户近日公布了一组据称从 3Commas 加密货币交易平台获得的 10000 个 API 密钥。

3Commas 机器人程序使用这些 API 密钥，通过与诸多加密货币交易所进行交互为客户创造利润，不需要帐户凭据，即可代表用户执行自动化的投资和交易操作。

这名推特用户声称，泄露的 API 密钥只是他们持有的 10 万个 API 密钥当中的 10%，并表示他们计划在接下来的几天悉数公布。

3Commas 调查了泄露的数据，近日确认文件包含有效的 API 密钥。因此，该平台现在敦促所有支持的交易所吊销所有与 3Commas 关联的密钥，包括库币（Kucoin）、Coinbase 和币安（Binance）。

图 1

建议用户在所有关联的交易所上自行重新分发密钥，并联系 3Commas 支持人员，根据具体情况获得后续行动方面的建议。

此外该平台声称，它已经调查了泄漏系内鬼作案的可能性，但没有发现这方面的任何证据。

3Commas 在推特上宣称：" 只有一小部分的技术员工访问了基础设施；自 11 月 19 日以来，我们已经采取措施取消了他们的访问权限。"

该公司补充道：" 从那时起，我们实施了新的安全措施，我们不会就此止步；我们正在展开全面调查，执法部门将参与其中。"

遗憾的是，3Commas 花了很长时间才确认这起泄密事件；在过去几个月里，许多用户的账户似乎未经授权进行了交易，他们已经损失了资金。

币安 CEO 透露更多信息

12 月 28 日，加密货币交易所币安首席执行官赵长鹏在推特上对其 800 万粉丝表示，他对该平台上发生的 API 密钥泄露一事 " 相当乐观 "。他还对那些因本月早些时候 3Commas API 密钥泄露而蒙受经济损失的人寄予同情。但他已经建议该服务的客户停止使用。

图 2

赵长鹏的爆料发生在 12 月 9 日的事件之后，当天币安暂停了一位前一天抱怨赔钱的用户的账户。该用户声称 " 低上限币的交易以推高价格从而获利 " 是使用被盗的 3Commas API 密钥进行的。币安表示，他们不会向该用户补偿损失。

12 月 11 日，3Commas 首席执行官 Yuriy Sorokin 在企业博客上声称，推特和 YouTube 上疯传的屏幕截图显示，该公司的安全措施不到位，员工在获取 API 密钥。Sorokkin 对这些截图进行了彻底的技术调查，驳斥了这些说法。

之前矢口否认

首次传闻通过 3Commas 触发未经授权的交易出现在 2022 年 10 月，近几周更是甚嚣尘上。

11 月，大量加密货币的持有者报告称，在 3Commas 以某种方式泄露用户凭据后，他们损失了价值大约 600 万美元的加密货币。

在这段时间里，这个交易平台拒绝考虑泄密的可能性，表示报告这些问题的用户肯定是网络钓鱼攻击的受害者，或者使用了非官方的木马应用程序。

2022 年 12 月 10 日，在随后陆续有人声称使用泄露的 API 密钥进行未经授权交易之后，3Commas 发布了一份调查最新通报，声称没有发现其系统遭到攻击的证据。

第二天，该平台发布了一篇新文章，驳斥了其员工窃取用户 API 密钥以盗取用户资产的说法。

3Commas 用户声称存在未经授权的交易，却遭到该公司的断然拒绝，如今他们要求全额退款。

截至发稿时，3Commas 尚未就可能的赔偿做出任何声明。IT 安全外媒 BleepingComputer 已经联系该公司澄清这方面的问题，正在等待对方回复。