Hack – 3Commas reconnaît (enfin) une fuite des clés API de ses clients
Certaines affaires pourraient se régler rapidement et en toute transparence afin de limiter les dégâts occasionnés. Car il y a parfois pire que les attaques malveillantes de sociétés et services en lien au secteur des cryptomonnaies. Avec, en première ligne, le refus de prendre des mesures afin de résoudre un problème pourtant soulevé par de nombreux analystes et utilisateurs. Un exercice de déni dans lequel s’était enfermé depuis 2 mois le PDG de la société de trading automatisé 3Commas. Cela pour finalement reconnaître – un peu trop tard – une fuite liée aux clés API de ses clients.
29 décembre 2022 - 10:00
Temps de lecture : 3 minutes
Par Hugh B.
Le passage à la nouvelle année va être compliqué pour Yuriy Sorokin, PDG actuel de la société de trading automatisé 3Commas. Car ce qui aurait pu se résumer à un « simple » hack de ses données clients vient de se transformer en une possible affaire de faute professionnelle aux conséquences dramatiques.
Cela pour la simple raison qu’il a nié pendant plus de deux mois une situation qu’il vient finalement de reconnaître officiellement 14,8 millions de dollars dérobés plus tard. Avec, pour le moment, 44 victimes déclarées de ce qui semble être une fuite des clés API de ses clients. Cette option qui permet de déléguer tout ou partie de la gestion de son compte sur une plateforme de cryptomonnaies à une structure tierce. Explications…
3Commas – Au moins 14,8 millions de dollars dérobés
Les clients de la société 3Commas ne décolèrent pas en cette fin de semaine. Et on peut les comprendre puisque son PDG, Yuriy Sorokin, vient de reconnaître officiellement hier ce que tout le monde soupçonnait déjà depuis des semaines. Et cela alors même qu’il a passé son temps à nier l’évidence. Le tout en ne manquant pas d’accuser les personnes à l’origine de publications sur le sujet de vouloir faire circuler « de fausses captures d’écran, affirmant que des employés ont volé des clés API ». Pourtant le FUD présumé était finalement bien plus qu’un simple écran de fumée…
« Nous avons vu le message du pirate et pouvons confirmer que les données contenues dans les fichiers sont vraies. Comme action immédiate, nous avons demandé à Binance, Kucoin et aux autres échanges pris en charge de révoquer toutes les clés qui étaient connectées à 3Commas. »
Yuriy Sorokin
Et par « pirate » il faut comprendre qu’il s’agit finalement d’un compte Twitter ayant mis le nez de Yuriy Sorokin dans les problèmes qu’il refusait de voir depuis des semaines. Cela avec la publication d’une partie de la base de données de 3Commas contenant, entre autres, les clés API de certains utilisateurs de cette plateforme de trading. Impossible donc de continuer à nier l’évidence. Avec une « action immédiate » qui ressemble à une mauvaise blague compte tenu du délai nécessaire à la prise de cette simple décision : « révoquer toutes les clés qui étaient connectées à 3Commas ».
3Commas – Une affaire de déni d’initié
Mais le pire dans cette affaire n’est pas le détournement, pour le moment encore inexpliqué, des clés API des clients de 3Commas. En effet, le véritable point sensible est le déni affiché par Yuriy Sorokin à l’égard de ses clients dans ce qu’il nommait avec mépris la « saga des clés API ». Car le nombre de plaintes se faisait de plus en plus important ces dernières semaines. Mais selon ce dernier, tout cela n’était rien de plus que la conséquence d’une campagne de phishing résultant de la crédulité des victimes concernées.
Et même la publication du fondateur de Binance, Changpeng Zhao, le 14 novembre dernier, n’y aura rien changé. Car il aura fallu attendre encore plus d’un mois et demi avant que de véritables mesures soient effectivement prises. Cela ne faisant qu’augmenter la facture des pertes enregistrées par les clients de 3Commas.
« Nous avons vu au moins 3 cas d’utilisateurs qui ont partagé leur clé API avec des plateformes tierces (Skyrex et 3commas) et vu des échanges inattendus sur leurs comptes. Si vous avez déjà utilisé une telle plateforme, je vous recommande fortement de supprimer vos clés API par sécurité«
Changpeng Zhao
Car le montant du préjudice, pour le moment estimé à 14,8 millions de dollars par le compte Twitter ZachXBT, pourrait finalement n’être que la partie émergée de cet iceberg. Car cela ne concerne que 44 victimes ayant décidé d’agir publiquement pour amener cette affaire au grand jour. Mais le nombre de clients concernés pourrait bien être beaucoup plus important. Et il sera difficile de se fier aux chiffres que pourrait donner 3Commas…
Restons connectés
7,831 followers
17,800 followers
139,000 followers
1,249 followers