O CEO da Binance, Changpeng Zhao (CZ), alertou em sua conta no Twitter na última quarta-feira (28) para um vazamento generalizado de chaves de API da plataforma de bots de negociação 3Commas. O alerta veio depois que novas especulações sobre um incidente de outubro surgiram nas redes sociais nos últimos dias. Após o tuíte de CZ, e de novas evidências do vazamento, a 3Commas confirmou a violação.
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
Stay #SAFU.
— CZ 🔶 Binance (@cz_binance) December 28, 2022
“Acredito firmemente que @tier10k está correto aqui”, tuitou CZ, referindo-se a um tuítes de um usuário que disse que houve a publicação de um vazamento de API. “Se você já colocou uma chave de API no 3Commas (de qualquer exchange), desative-a imediatamente”, disse CZ.
A 3Commas é uma plataforma que permite que os usuários configurem bots de negociação para operações automáticas em exchanges de ativos digitais de terceiros. Essas exchanges geram chaves de API e os usuários conectam essas chaves na 3Commas para conceder ao aplicativo acesso às suas contas.
Detalhes do vazamento da 3Commas
Um usuário anônimo do Twitter conseguiu acesso a cerca de 100.000 chaves de API de usuários da 3Commas. O indivíduo publicou mais de 10.000 das chaves na rede social na quarta-feira e disse que o restante “será publicado aleatoriamente nos próximos dias”.
O CEO da 3Commas, Yuriy Sorokin, confirmou a autenticidade do vazamento. Além disso, pediu que as exchanges revoguem todas as chaves API que estavam conectadas à 3Commas.
“Vimos a mensagem do hacker e podemos confirmar que os dados nos arquivos são verdadeiros. Como ação imediata, pedimos que a Binance, a KuCoin e outras exchanges com suporte revoguem todas as chaves que estavam conectadas à 3Commas”, tuitou ele.
3Commas diz que vai investigar o caso
Além disso, Sorokin disse que a empresa investigou a possibilidade de o vazamento ser uma ação interna. No entanto, segundo ele, não se encontrou nenhuma prova disso. Conforme informou o CEO, a empresa adotou novas medidas de segurança e vai iniciar uma investigação completa envolvendo a aplicação da lei.
“Lamentamos que isso tenha chegado tão longe. Nós seguiremos sendo transparentes em nossas comunicações sobre a situação”, completou.
A confirmação ocorre depois que usuários da 3Commas alegaram que suas chaves de API foram usadas para executar negociações em exchanges como Binance, KuCoin e Coinbase sem o seu consentimento. A 3Commas confirmou que os usuários perderam ao menos US$ 6 milhões (R$ 31 milhões) desde outubro. Mas é possível que o valor seja bem maior.
Na época, conforme noticiou o CriptoFácil, a exchange FTX – que era solvente – prometeu destinar cerca de R$ 30 milhões para compensar os usuários que perderam recursos com o vazamento. No entanto, a empresa enfatizou que o reembolso em questão era algo pontual.
Pouco mais de um mês depois, ocorreu um incidente semelhante, desta vez na Binance. Mas, na ocasião, a exchange se recusou a fazer qualquer reembolso. Afinal, segundo CZ, não havia como apurar a boa-fé neste caso.