今年 10 月起,交易機器人服務 3Commas 用戶在 FTX 等交易所上的帳戶,相繼傳出對敲盜幣事件,受害用戶指控, 3Commas 外洩了他們的 API 金鑰憑證,導致駭客竊走資金。不過 3Commas 否認此說法,還稱平台不會為被盜資金負責。
(前情提要:FTX歸零事件》SBF:提供 “600萬美元” 一次性補償!3Commas : 疑為API釣魚)
(背景補充:FTX用戶歸零事件》3 Commas API KEY 洩漏:駭客釣魚、對敲盜幣全過程)
加密貨幣交易機器人服務 3Commas 能夠在幣安、 Coinbase 、 FTX 等交易平台上為用戶自動執行交易,但用戶必須提供 3Commas 一個 API 金鑰憑證。該憑證由交易所生成,交易所則授予 3Commas 等第三方平台代表用戶執行交易的權限。
然而,今年 10 月開始,一些 3commas 用戶在幣安、 Coinbase、 FTX 、 OKX 上的帳戶均傳出對敲盜幣事件,FTX 用戶因而損失 600 萬美元,當時 FTX 創辦人 Sam Bankman-Fried (SBF)曾宣布提供 600 萬美元的一次性補償。
針對發生此竊盜事故的原因,數十名 3Commas 用戶指控,是因為 3Commas 外洩了他們的 API 金鑰憑證,導致駭客發動攻擊竊走資金,但據 Coindesk 報導,3Commas 執行長稱這些指控是「虛假謠言」,並稱是用戶被網路釣魚而丟失資金。
3Commas 副技術長 Artem Koltsov 則表示:
非常令人沮喪的事情是,目前沒有什麼是可以肯定的,我們知道有存在網路釣魚,我們知道那些 API 金鑰什麼都有可能發生,我們對此並不開心。
受害者、3Commas 各說各話
迄今為止,受害者、3Commas 雙方都無法明確證明自己的論點, 3Commas 無法確認自身從未受到駭客攻擊,同樣的是,3Commas 用戶也無法證明自己從未意外地與他人共享過 API 金鑰。
並非每個人都相信 3Commas 的解釋,網路上盛傳, 3Commas 是刻意利用「網路釣魚騙局」故事,來掩蓋其漏洞。對此,3Commas 特別在 15 日發布「API 洩露或本平台數據庫外洩的謠言」聲明予以駁斥,重申其數據庫沒有 API 外洩,並強調 3Commas 用戶是安全的。
但此聲明惹惱了 3Commas 受害用戶,多名受害者已組成 Telegram 群組,在一個 18 人群組中,許多人都聲稱自己是經驗豐富的用戶,其中至少有兩人是軟體工程師,而與 Coindesk 交談過的所有人都堅稱,他們在瀏覽器歷史中,未發現與 3Commas 相關的釣魚網站。
3Commas 法律團隊表示,正聘請外部專家審查其代碼,並最終為用戶解決問題,但 3Commas 不應該為被盜資金負責。
📍相關報導📍
一用戶FTX API Key洩露,遭對敲交易160萬鎂歸零!DMG遭連累4次暴漲暴跌500%