Binance 首席执行官赵长鹏 (CZ) 于 12 月 28 日警告他的 800 万 Twitter 粉丝,他“有理由确定”加密货币交易管理平台正在发生 API 密钥泄漏。
CZ 的披露是在 12 月 9 日发生的一起事件之后发生的,当时 Binance 取消了一天前抱怨资金损失的用户的账户。该用户声称,与 3Commas 相关的泄露的 API 密钥被用于“对低价硬币进行交易,以推高价格以获利。” 币安拒绝向用户报销。CZ 在推特上表示,损失无法核实,如果该公司弥补此类损失,“我们只会为用户丢失 API 密钥而付费。”
12 月 11 日,3Commas 首席执行官尤里·索罗金 (Yuriy Sorokin) 在公司博客上声称,虚假截图在 Twitter 和 YouTube 上流传,声称该公司安全松懈,员工正在窃取 API 密钥。索罗金在对图像的深入技术分析中否认了这些指控:
“创建屏幕截图的人使用 HTML 编辑器做得很好,但他们犯了一些关键错误,很容易证明他们的说法是假的。我们将逐点讨论这些。”
10 月下旬,安全问题首次出现在 3Commas。当时,仍在运行的 FTX 交易所发布了安全警报,以回应用户报告在 FTX 上使用 DMG 币进行未经授权的交易对交易。3Commas 和 FTX 确定黑客创建了 3Commas 账户来执行交易。然而,根据 3Commas 博客,“API 密钥不是从 3Commas 获取的,而是从 3Commas 平台外部获取的。”
在随后的博客文章中,Sorokin 承认“我们有确凿的证据表明网络钓鱼至少在某种程度上是导致用户流失的一个因素”。
与此同时,一位 Twitter 用户声称 3Commas 的所有 API 密钥都已泄露。
现在,索罗金已经确认泄密,并补充说没有发现泄密是内部工作的证据。