El CEO de Binance, Changpeng ‘CZ’ Zhao, declaró que estaba bastante seguro de que 3Commas, una plataforma para administrar transacciones de criptomonedas, tiene una fuga generalizada de claves API.
El 29 de diciembre, CZ aconsejó a los usuarios en Twitter que deshabiliten cualquier clave API que hayan ingresado en la plataforma 3Commas. Además, respondió a un usuario diciendo que aunque Binance está tratando de desactivarlo en toda la plataforma, la tarea es “complicada”.
La declaración de CZ sigue a un incidente del 9 de diciembre en el que Binance cerró las cuentas de algunos usuarios que se quejaron de que sus fondos habían sido drenados.
Anteriormente, un usuario afirmó que la plataforma 3Commas había expuesto la clave API. Aparentemente, se utilizó para intercambiar criptoactivos de baja capitalización para impulsar los precios y las ganancias.
En respuesta, Binance se negó a reembolsar a los usuarios. CZ argumentó que nunca se pudo determinar si los usuarios no robaron sus propias claves API. Él dijo: “Las transacciones se realizaron utilizando las claves API que creó. De lo contrario, solo pagaremos a los usuarios que perdieron sus claves API. Espero que entiendas.”
Negando problemas de seguridad
El 11 de diciembre, el CEO de 3Commas, Yuriy Sorokin, declaró que en Twitter y YouTube habían estado circulando screenshots falsos que mostraban su seguridad laxa. Además, refutó las afirmaciones de que los miembros del personal de 3Commas habían robado claves API:
“La persona que creó los screenshots hizo un buen trabajo con un editor de HTML, pero cometió algunos errores clave que prueban fácilmente que sus afirmaciones son falsas. Los revisaremos punto por punto”.
A finales de octubre, 3Commas comenzó a experimentar problemas de seguridad. En respuesta a las acusaciones de los usuarios sobre transacciones no autorizadas en FTX en ese momento, el exchange también emitió una alerta de seguridad.
FTX y 3Commas lo estipularon como un posible intento de phishing en el que los hackers crearon cuentas de 3Commas para realizar transacciones. Según 3Commas, las claves API no se tomaron de su plataforma propietaria sino de sitios web replicados.
Sorokin reconoció más tarde que las pruebas mostraban que el phishing era al menos un factor que contribuía al robo de la API.
Sin embargo, la comunidad cripto en Twitter afirmó que las claves API de 3Commas se habían visto comprometidas debido a una brecha de seguridad.
3Commas finalmente admite haber experimentado filtración de datos
En un desarrollo reciente, el CEO Yuriy Sorokin acudió a Twitter para reconocer por primera vez que hubo una filtración de datos en su empresa. Sorokin explicó que habían verificado que la información en los archivos era precisa después de ver el mensaje del hacker.
Además, el ejecutivo confirmó que 3Commas ahora exigió la revocación inmediata de todas las claves de Binance, KuCoin y todos los exchanges admitidos.
El CEO de la plataforma también estuvo de acuerdo en que siempre es posible un trabajo interno, pero no encontró evidencia de esto en la investigación.
Ahora, afirmó que la plataforma inició una investigación completa que involucró a las fuerzas del orden. Mientras tanto, la cuenta de Twitter de 3Commas afirma que ninguna clave hecha después del 16 de noviembre está en riesgo:
“Instamos a todos los usuarios a volver a emitir sus claves en los exchanges. Nuevamente, nos comprometemos a decir que ninguna clave después del 16 de noviembre está en riesgo. En caso de que no los actualice, los exchanges los revocarán para garantizar la seguridad de su cuenta”.
Pérdidas estimadas superan los 10 millones de dólares
El 23 de diciembre, un grupo de traders alegó que una clave API de la plataforma 3Commas se había visto comprometida, lo que permitió el robo de más de 22 millones de dólares en criptomonedas.
3Commas solo quedó convencido después de que la comunidad cripto en Twitter obtuvo y publicó públicamente alrededor de 100,000 de las claves API de sus usuarios.
El 20 de diciembre, el investigador de blockchain, ZachXBT, afirmó que 44 víctimas habían perdido alrededor de 14,8 millones de dólares debido a las claves robadas.
En su última declaración, ZachXBT dijo: “3Commas finalmente reconoció la filtración, pero el daño ya estaba hecho. Llevan semanas culpando a sus usuarios y aceptando cero responsabilidad”.
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
