El CEO de Binance, Changpeng Zhao (CZ), advirtió el 28 de diciembre a sus 8 millones de seguidores en Twitter que está «razonablemente seguro» de que se están produciendo filtraciones de claves API en la plataforma de gestión de operaciones con criptomonedas.
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
Stay #SAFU.
— CZ Binance (@cz_binance) December 28, 2022
Estoy razonablemente seguro de que hay fugas de claves API muy extendidas desde 3Commas. Si alguna vez has puesto una clave API en 3Commas (de cualquier exchange), por favor desactívala inmediatamente.
La revelación de Zhao siguió a un incidente el 9 de diciembre, cuando Binance canceló la cuenta de un usuario que se quejó de haber perdido fondos un día antes. Ese usuario alegó que una clave API filtrada vinculada a 3Commas se utilizó «para realizar operaciones con monedas de baja capitalización para hacer subir el precio y obtener ganancias». Binance se negó a reembolsar al usuario. Zhao tuiteó que la pérdida era inverificable, y que si la empresa compensaba tales pérdidas «sólo estaremos pagando para que los usuarios pierdan sus claves API.»
Mamba, there is almost no way for us to be sure users didn’t steal their own API keys. The trades were done using API keys you created. Otherwise we will just be paying for users to lose their API keys. Hope you understand.
— CZ Binance (@cz_binance) December 9, 2022
Mamba, casi no hay forma de que estemos seguros de que los usuarios no robaron sus propias claves API. Las operaciones se realizaron utilizando claves API creadas por ti. De lo contrario, sólo estaremos pagando para que los usuarios pierdan sus claves API. Espero que lo entiendas.
El 11 de diciembre, el CEO de 3Commas, Yuriy Sorokin, afirmó en el blog de la empresa que en Twitter y YouTube estaban circulando capturas de pantalla falsas que mostraban que la empresa tenía una seguridad poco estricta y que los empleados estaban robando claves API. Sorokin negó las acusaciones en un análisis técnico en profundidad de las falsificaciones:
«La persona que creó las capturas de pantalla hizo un buen trabajo con un editor HTML, pero cometió algunos errores clave que demuestran fácilmente que sus afirmaciones son falsas. Los analizaremos punto por punto».
Los problemas de seguridad surgieron por primera vez en 3Commas a finales de octubre. En ese momento, el todavía funcional exchange FTX emitió una alerta de seguridad en respuesta a los informes de los usuarios de operaciones no autorizadas de pares de operaciones con la moneda DMG en FTX. 3Commas y FTX determinaron que los hackers habían creado cuentas de 3Commas para realizar las operaciones. Sin embargo, según el blog de 3Commas, «las claves API no se tomaron de 3Commas, sino de fuera de la plataforma 3Commas».
En una publicación posterior, Sorokin reconoció que «tenemos pruebas fehacientes de que la suplantación de identidad fue, al menos en parte, un factor que contribuyó» a las pérdidas de los usuarios.
Mientras tanto, un usuario de Twitter ha denunciado que se han filtrado todas las claves API de 3Commas.
PSA
3Commas API leak has been published, if you haven’t already REMOVE YOUR API KEY pic.twitter.com/yEvrxyWBIq
— db (@tier10k) December 28, 2022
Se ha publicado la filtración de la API de 3Commas, si aún no lo ha hecho ELIMINE SU CLAVE DE API
Ahora, Sorokin ha confirmado la filtración, añadiendo que no se encontraron pruebas de que la filtración fuera un trabajo interno.
1. Statement from 3Commas:
1. Statement from 3Commas: As an immediate action, we have asked that Binance, Kucoin, and other supported exchanges revoke all the keys that were connected to 3Commas.
— Yuriy Sorokin (@YS_3Commas) December 28, 2022
1. Declaración de 3Commas:
1. Declaración de 3Commas: Como acción inmediata, hemos pedido que Binance, Kucoin y otros exchanges compatibles revoquen todas las claves que estaban conectadas a 3Commas.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
