CZ：3Commas存在广泛的API密钥泄漏请立即禁用

金色财经报道，一位匿名的推特用户近日公布了一组据称从 3Commas 加密货币交易平台获得的 10000 个 API 密钥。3Commas 机器人程序使用这些 API 密钥，通过与诸多加密货币交易所进行交互为客户创造利润，不需要帐户凭据，即可代表用户执行自动化的投资和交易操作。 这名推特用户声称，泄露的 API 密钥只是他们持有的 10 万个 API 密钥当中的 10%，并表示他们计划在接下来的几天悉数公布。3Commas 调查了泄露的数据，近日确认文件包含有效的 API 密钥。因此，该平台现在敦促所有支持的交易所吊销所有与 3Commas 关联的密钥，包括库币（Kucoin）、Coinbase 和币安（Binance）。

金色财经报道，交易机器人平台 3Commas 和加密货币交易所 FTX 进行的一项调查显示，与前者相关的 API 密钥被用于对后者的 DMG 交易对进行未经授权的交易。10 月 20 日，3Commas 团队收到了该事件的警报，当时连接到平台的各种 FTX API 密钥被用于执行未经授权的交易。该平台在官方博客文章中表示，API 密钥不是从 3Commas 获取的，可能是从第三方网络钓鱼攻击或黑客攻击中获得的。 通过调查，3Commas 团队发现多个声称是 3Commas 的虚假网站被用来诱骗用户将他们的交易账户连接到欺诈性网络界面来钓鱼信息。3Commas 表示，API 密钥随后由假网站存储，随后用于在 FTX 上的 DMG 交易对上进行未经授权的交易，还指出可能涉及第三方浏览器扩展或恶意软件。

11月14日消息，币安创始人赵长鹏发推表示，「用户 Carlos 确认未被识别的订单是由于他的 API 密钥泄漏所致，而他只有一个活跃的 API 密钥，该密钥曾在加密交易机器人平台 Skyrex 上使用过。我们将尝试禁用在 Skyrex 上使用过的所有 API 密钥，以进行身份确定」。

11月15日消息，Binance创始人CZ发推称，Binance已向使用 Skyrex 和 3commas 的用户发送通知督促重置 API 密钥。此前 Binance 用户 Carlos 的账户疑被他人访问，账户资金疑被对敲购入AXS造成损失，之后，Skyrex 承认遭到攻击，Binance 也表示将尝试禁用在 Skyrex 上使用过的所有 API 密钥。

12月11日消息，交易机器人平台 3Commas 创始人兼首席执行官 Yuriy Sorokin 发布关于 API 密钥和交易所攻击的调查更新，此前币安、OKX、FTX 和其他一些交易所的许多用户都经历过通过 API 密钥发起的未经授权的交易。3Commas 称从受影响用户那里收集了很多信息，根据这些信息显示每个案例都是不一样的，除了未经授权的交易活动之外，报告案例之间没有相同模式或任何联系，大量使用 3Commas 的高净值个人并未受到影响，表明不是 3Commas 系统中的漏洞。3Commas 表明攻击不是网络钓鱼而是黑客攻击造成的。

金色财经报道，推特用户ParadigmEng420发文表示，去中心化交易平台Saddle Finance的合同中存在一个明显的漏洞。目前，arbitrum上至少有价值56.6万美元的资金容易受到攻击，如果您在Saddle上有资金，请立即取款。