ট্রেডার্স que usam API da 3Commas alegam perdas de US$ 22 milhões em criptomoedas

Apesar do mercado em baixa, os day traders de criptomoedas ainda enxergam algumas opportunidades de enriquecimento. Muitos procuram vantagens usando robôs de negociação algorítmica que executam automaticamente negociações a qualquer momento.

No entanto, há riscos em permitir que o código tome decisões rápidas. Um grupo de investidores, que se organiza no Telegram , diz que foi vítima de hackers que comprometeram a API da plataforma de negociação de automatizada 3Commas, que resultou em perdas de cerca de US$ 22 milhões.

Em uma série de tweets, o detetive da Internet @ZachXBT afirma que dezenas de usuários relataram que os ladrões desviaram fundos através de negociações não autorizadas em suas contas de exchanges Centralizadas por causa dacomas dacomas 3.

“একটি 3Commas alega atividade de ‘phishing’, mas agora descobri um grupo de 44 vítimas que teve um to ut de US$ 14,8 milhões roubados”, ZachXBT থেকে টুইট করা হয়েছে।

1/3 গত কয়েক সপ্তাহ ধরে @3commas_io ব্যবহারকারীদের একটি সংখ্যা তাদের CEX অ্যাকাউন্টে অননুমোদিত লেনদেনের রিপোর্ট করেছে। 3Commas এটিকে “ফিশিং” এর জন্য দায়ী করে কিন্তু আমি এখন 44 ভুক্তভোগীদের একটি দল যাচাই করেছি যাদের মোট $14.8m চুরি হয়েছে৷ pic.twitter.com/49K28a5Pf8 — ZachXBT (@zachxbt) 20 ডিসেম্বর, 2022

টেলিগ্রাম এবং রিভিসাডো পেলো ডিক্রিপ্ট , os membros dizem que ট্রানজ্যাকশন não autorizadas ocorreram incluem Binance , Coinbase Pro এবং KuCoin হিসাবে এক্সচেঞ্জ হিসাবে আপনি Google ডক্সের সাথে একটি নথিভুক্ত করতে পারেন৷

“Os usuários fizeram reclamações em diferentes exchanges”, escreveu ZachXBT. “Está claro que isso não é phishing e as chaves de API foram roubadas।”

1/3 গত কয়েক সপ্তাহ ধরে @3commas_io ব্যবহারকারীদের একটি সংখ্যা তাদের CEX অ্যাকাউন্টে অননুমোদিত লেনদেনের রিপোর্ট করেছে। 3Commas এটিকে “ফিশিং” এর জন্য দায়ী করে কিন্তু আমি এখন 44 ভুক্তভোগীদের একটি দল যাচাই করেছি যাদের মোট $14.8m চুরি হয়েছে৷ pic.twitter.com/49K28a5Pf8 — ZachXBT (@zachxbt) 20 ডিসেম্বর, 2022

O que é uma API?

Uma API é um conjunto de regras que definem como dois programas de software — neste caso, a carteira ou o o portfólio de um trader e uma exchange de criptomoedas — devem se comunicar. APIs são usadas por vários motivos হিসাবে, fornecendo uma maneira para os desenvolvedores acessarem vários serviços e dados e permitindo que os usuários interajam com diferentes aplicativos por meio de uma única interface de uma única.

O que é negociação algorítmica?

একটি negociação algorítmica usa de computador programas, incluindo APIs, para executar negociações nos mercados financeiros. Esses programas, também conhecidos como robôs (ou bots) de investimento, são projetados para analisar as condições do mercado e executar negociações acionadas por parâmetros predefinidos.

Uma vantagem da negociação algorítmica é que ela permite que os ব্যবসায়ীদের executem negociações rapidamente, sem interação humana. Os robôs de investimento podem ser especialmente úteis em mercados globais em rápida evolução, como o de criptoat i vos , onde a negociação manual pode não ser possível ou pode ser mais demorada.

Embora os bots de negociação algorítmica possam ajudar os traders que procuram uma vantagem, a sua utilização também acarreta alguns riscos, tais como erros potenciais ou avarias no algoritmo ou acesso conprometiasdosões configures.

উম গোলপে পূর্ববর্তী দা 3 কমাস

2022 এর সিইও এফটিএক্স, স্যাম ব্যাঙ্কম্যান-ফ্রাইড প্যাগউ ইউএস ডলার 6 মিলিয়ন ডলার ট্রেডারদের জন্য এফটিএক্স কিউ ফরম ভিটিমাস ডি উমা ফ্রুড মাল্টিমিলিয়নরিয়া কিউ অ্যাটিংগিউ ওস ইউএসুয়ারিওস ডা corretora através de APIs কম্প্রোমেটাস

Bankman-Fried twittou que estava preparado para remunerar os usuários FTX afetados por esse ataque na qual os invasores usaram a API da 3Commas para fazer negociações na exchange, mas advertiu que ação não não não não de coude empresa de cosmeticão preparado.

13) তবে এই বিশেষ ক্ষেত্রে, আমরা ক্ষতিগ্রস্ত ব্যবহারকারীদের ক্ষতিপূরণ দেব। এটি একটি এককালীন জিনিস এবং আমরা এটি সামনের দিকে করব না। এটি একটি নজির নয়. আমরা অন্যান্য কোম্পানির জাল সংস্করণ দ্বারা ফিশ করা ব্যবহারের জন্য ক্ষতিপূরণের অভ্যাস তৈরি করব না! — SBF (@SBF_FTX) 23 অক্টোবর, 2022

একটি 3Commas diz que o roubo de fundos de usuários foi devido a um ataque de phishing, não por conta de seu software, e chamou as alegações de vazamentos ou ataques da API — anteriores ea mais Recente — de falsadateres e maisporse.

3Commas ফাঁস ব্যবহারকারীদের API কী দাবি করার জন্য মিথ্যা প্রমাণ ব্যবহার করে খারাপ বিশ্বাস অভিনেতাদের দ্বারা শেয়ার করা কিছু মিথ্যা গুজব রয়েছে। এই গুজবগুলি ক্লাউডফ্লেয়ার লগগুলির জাল স্ক্রিনশটগুলির সাথে সম্পর্কিত যা টুইটার এবং ইউটিউবে ভাগ করা হয়েছে৷ সম্পূর্ণ নিবন্ধ: https://t.co/KVOF2BWlYn pic.twitter.com/qJ52CvnVg0 — 3Commas (@3commas_io) 11 ডিসেম্বর, 2022

Em uma série de blogposts publicados no site da 3Commas, o cofundador, Yuriy Sorokin, abordou repetidamente as alegações contra a plataforma.

“No mais Recente capítulo dessa novela das chaves de API e ataques a exchanges, agora estamos vendo indivíduos no Twitter e no YouTube circulando capturas de tela falsas de logs da Cloudflare em uma tentativa de convencer as pessoas de que havia umaidaom3 vChavel éramos irresponsáveis ​​o suficiente para permitir acesso aberto a dados de usuários e arquivos de log”, escreveu Sorokin, apontando para um tweet de 10 de dezembro de 2022 o qual ele diz que os dados de usuários e arquivos de log.

3Commas ফাঁস ব্যবহারকারীদের API কী দাবি করার জন্য মিথ্যা প্রমাণ ব্যবহার করে খারাপ বিশ্বাস অভিনেতাদের দ্বারা শেয়ার করা কিছু মিথ্যা গুজব রয়েছে। এই গুজবগুলি ক্লাউডফ্লেয়ার লগগুলির জাল স্ক্রিনশটগুলির সাথে সম্পর্কিত যা টুইটার এবং ইউটিউবে ভাগ করা হয়েছে৷ সম্পূর্ণ নিবন্ধ: https://t.co/KVOF2BWlYn pic.twitter.com/qJ52CvnVg0 — 3Commas (@3commas_io) 11 ডিসেম্বর, 2022

একটি তদন্ত অব্যাহত

Em uma resposta por e-mail para o decrypt , a 3Commas afirmou que “não há vazamentos da API ou exposição de nosso banco de dados” e disse que está trabalhando com o Google para derrubar sites de phishing que platum supitaform, copiarque ক্লায়েন্টদের একটি enviar suas chaves de API.

A 3Commas também afirmou que está trabalhando com a Binance na “investigação da causa raiz” e disse que sua própria equipe está “encontrando uma solução Permanente para corrigir o problema da API.” একটি empresa não response a um pedido do decrypt para explicar o problema da API que exigia correção.

অভ্যন্তরীণ তথ্য হিসাবে বাদ দিন, como é que um intruso saberia a quem atacar—através de phishing ou de outra forma—e quando?

“Normalmente, minha resposta seria ‘depende'”, disse ao decrypt, David Schwed, COO da empresa de segurança Web3 Halborn .

“Se um invasor fosse capaz de inspectionar o tráfego de rede, ele seria capaz de obter algumas informações sobre quem estava fazendo chamadas de API com বেস কোন URL ou no endereço IP de origem”, schwed disse. “কোনও এন্টান্টো, নেস্টে ক্যাসো, যুগে যুগে সহজে যাচাইকরণের জন্য ব্যবহারযোগ্য এপিআই”।

“Na seção de desenvolvimento do 3commas.io, eles têm um link de chat API para um grupo [Telegram] com cerca de 1.000 membros”, explicou. “Esses membros, eu diria, são todos usuários da API।”

Edmondo “Mundy” Pena, um professional de cibersegurança e trader algorítmico, diz ao decrypt que ele usava o de negociação da 3Commas desde 2020, quando ouviu falar pela primeira vez sobre a plataforma. Na mesma época, Pena diz que lançou seu negócio, একটি ক্রিপ্টো ট্রেডিং ডেস্ক।

Pena diz que usou a API da 3commas em vários portfólios por pouco menos de dois anos sem problemas. No entanto, ele notou problemas pela primeira vez com a sua conta de negociação durante o feriado de Ação de Graças em novembro de 2022।

“ইউ টিনহা উমা এপিআই প্যারা ট্রেড com এ্যাসেসো হ্যাবিলিটাডো এবং আমার পোর্টফোলিও”, ডিসে ইলে। “Meu maior medo se tornou realidade na manhã de Ação de Graças, quando comecei a ver milhares de alertas de trades acontecendo na minha carteira.” Pena disse que excluiu a API antes que os ladrões drenassem todos os seus fundos.

Ele diz que foi ao Google pesquisar o que havia acontecido e descobriu que não foi o único a passar pela experiência negativa. Ele está conversando com outras pessoas que contaram casos semelhantes.

Até agora, Pena diz que fez entrevistas individuais e presenciais com quase 60 usuários que relataram transações não autorizadas usando a API da 3Commas.

Ele diz que várias das pessoas com quem conversou já buscaram a policia para tratar do assunto. Usando sua experiência em cibersegurança forense, Pena diz que foi capaz de fazer a engenharia reversa do ataque em sua conta. Ele então levou essa informação para contatos no Serviço Secreto dos EUA.

Em dezembro de 2022, um trader de criptos, com o codinome CoinMamba, disse no Twitter que sua conta na Binance estava comprometida devido a um vazamento da chave API da 3Commas, o que o levou a perder fundos.

এই যে বন্ধুরা. দুর্ভাগ্যবশত দুই দিন আগে আমার Binance অ্যাকাউন্টটি একটি API এর মাধ্যমে শোষিত হয়েছে যা আমি 2 বছর আগে তৈরি করেছি এবং ব্যবহার করিনি যার পর থেকে আমি ধরে নিয়েছিলাম যে আমি মুছে ফেলেছি কিন্তু দৃশ্যত তা হয়নি। মুনাফা অর্জনের জন্য দাম বাড়ানোর জন্য কম ক্যাপ কয়েনগুলিতে লেনদেন করতে এটি ব্যবহার করা হয়েছিল। — CoinMamba (@coinmamba) 8 ডিসেম্বর, 2022

O tweet gerou uma troca de mensagens intensa entre CoinMamba eo CEO da Binance, Changpeng “CZ” Zhao, cujo desfecho foi o encerramento da conta da CoinMamba na Binance.

“O unico denominador comum aqui é a 3Commas”, disse Pena.

Embora Pena esteja confiante de que há um problema com o সফ্টওয়্যার da 3Commas, ele reconheceu que alguns dos problemas decorrem do esquecimento dos traders e do abandono das APIs anexadas às suas contas.

“A maioria das pessoas se esquece das APIs”, disse ele. “কনফিগারার APIs não é algo que você faz frequentemente. A maioria das pessoas só teve uma API associada ao seu portfólio.”

Pena afirmou também que outros ব্যবসায়ীদের afetados estão analisando suas opções jurídicas e estão cooperando com a Polícia nas তদন্ত.

*Traduzido por Gustavo Martins com autorização do decrypt.

অংশগ্রহন da comunidade de criptomoedas que mais cresce no Brasil. একটি ডিসকর্ড com os os principais especialistas do país তে ক্লিক করুন।
O post Traders que usam API da 3Commas alegam perdas de US$ 22 milhões em criptomoedas apareceu primeiro em Portal do Bitcoin.

.

Leave a Comment