Утечка API-ключей и бездействие бирж: разбор инцидента 3Commas от HAPI

Утечкой api-ключей с сервиса 3commas
Утечкой api-ключей с сервиса 3commas

Уже несколько месяцев в сообществе обсуждают утечку API-ключей с платформы 3Commas. Последняя признала компрометацию данных только в декабре 2022 года, хотя первые жалобы датируются октябрем. 

Команда децентрализованного протокола безопасности HAPI поделилась с ForkLog детальным анализом инцидента. Специалисты оценили ущерб клиентов, объяснили, как у пользователей централизованных платформ крали активы, и рассказали о коллективном иске, который против 3Commas готовятся подать в США.

«Ложные слухи» оказались правдой

В октябре 2022 года 3Commas совместно с командой криптовалютной биржи FTX сообщили о компрометации ряда API-ключей, которые впоследствии использовались для совершения несанкционированных сделок с токеном DMM Governance (DMG).

Некоторые клиенты платформы для алгоритмической торговли сообщали, что ключи без их согласия применялись для совершения операций на Binance, KuCoin и Coinbase.

Представители 3Commas тогда назвали эту информацию «ложными слухами».

Команда платформы подтвердила утечку пользовательских данных только в декабре, когда о релевантных проблемах предупредил глава Binance Чанпэн Чжао. 

Сообщалось, что в руки злоумышленников попало около 100 000 API-ключей. 10 000 из них они разместили в открытом доступ и пообещали впоследствии опубликовать остальные. 

В 3Commas подтвердили актуальность слитой в сеть информации.

По предварительным данным HAPI, в рамках инцидента пострадали «десятки человек». Аналитики отметили, что реальное число жертв может исчисляться тысячами, а их совокупный ущерб — оцениваться в десятки миллионов долларов.

Что такое 3Commas?

3Commas — это сервис для алгоритмической торговли цифровыми активами, запущенный в 2017 году. Согласно HAPI, зарегистрированная в Эстонии компания основана выходцами из России — Юрием Сорокиным, Михаилом Горюновым и Егором Разумовским.

Торговые боты платформы работают со многими криптовалютными биржами. В частности, 3Commas является партнером Binance и FTX, которая сейчас находится в процессе банкротства. 

Компания также получала финансирование от другой связанной с FTX Group структуры — печально известной Alameda Research. 

Проблемы с безопасностью

На сайте 3Commas утверждается, что платформа «серьезно относится к безопасности пользователей». 

Вместе с тем первые жалобы пользователей на компрометацию API-ключей в октябре 2022 года команда проекта либо игнорировала, либо назвала слухами. В ноябре о проблемах сообщали уже десятки людей и ситуация «вышла из-под контроля».

Руководство 3Commas заявило, что в рамках внутреннего расследования не выявила доказательств причастности к утечке данных сотрудников.

В HAPI утверждают, что незадолго до инцидента, а также в период появления первых жалоб часть разработчиков покинула компанию. Аналитикам удалось связаться с некоторыми из них — на условиях анонимности они подтвердили, пользовательские ключи мог «слить» кто-то из инсайдеров.

«У 3Commas полностью закрытый код, закрытый софт, закрытая разработка. Нет ни одного аудита. За пять лет работы официального брокера Binance, официального партнера FTX — ни одного публичного аудита. […] Все, что мы узнаем, узнаем только от уволившихся разработчиков и от жертв. […] И это на фоне заявлений об огромном объеме торгов через предоставляемый ими софт — $23 млрд ежемесячно, если быть точным», — рассказал в разговоре с ForkLog представитель HAPI.

Кроме того, один из бывших участников команды платформы рассказал, что в дни поступления первых жалоб от пользователей соучредители компании в разговорах с сотрудниками якобы называли ситуацию критической и говорили о «конце 3Commas».

Однако со временем риторика изменилась. Сервис месяцами отрицал все обвинения, намекая на неосторожность своих клиентов.

Как злоумышленники крали средства пользователей?

По словам аналитиков, злоумышленники, используя сторонние счета на централизованных платформах, выставляли ордера на продажу низколиквидных активов по высокой цене. 

Затем через аккаунты жертв, к которым они получали доступ по API, преступники обменивали в биржевом стакане эти активы на высоколиквидные. 

Специалисты отметили, что речь идет не только о контртрейдинге, но и о промывочной торговле. В качестве примера они приводят ситуацию, при которой до атаки стоимость ликвидных активов жертвы оценивалась в 50 BTC, а после нее, когда схема Pump and Dump прошла, — в 7 BTC. При этом 43 BTC «оседают» на другой стороне.

В HAPI подчеркнули, что, имея доступ к API-ключам пользователей, злоумышленники обходили 2FA и другие инструменты безопасности, имеющиеся на биржах. Аналитики также отметили, что неизвестно, шифровала ли 3Commas клиентские данные — из-за закрытого характера архитектуры сервиса проверить это невозможно. 

Инцидент в цифрах

Согласно HAPI:

  • по состоянию на 10 января 2023 года число пострадавших пользователей составило 86 человек из 32 стран мира;
  • подтвержденная сумма ущерба клиентов 3Commas оценивается в $27 285 845. Наименьшая сумма потерь — около $500, наибольшая — $5,9 млн;
  • большинство пострадавших являются гражданами США (21), Великобритании (11), а также Украины, Канады и Таиланда (по 4 на каждую юрисдикцию). 19 случаев связано с резидентами ЕС;
  • среди жертв больше всего пользователей Binance (47), KuCoin (28), Coinbase Pro (10) и Bittrex (1).

Аналитики отметили, что шесть пользователей потеряли более миллиона долларов каждый. В общей сложности на них приходится около 67% от суммы совокупного ущерба или $18,3 млн.

крупнейшие жертвы 3Commas
Данные: HAPI.

Больше всего денег потеряли пользователи Binance — в совокупности около $23,5 млн. На KuCoin и Coinbase Pro пришлось $2,1 млн и $1,5 млн соответственно.

Жертвы 3Сommas по биржам. Данные: HAPI
Данные: HAPI.

В разрезе стран крупнейший ущерб понесли жители Таиланда — свыше $6,4 млн. На втором месте граждане Великобритании ($5,5 млн), на третьем — резиденты ЕС ($4,8 млн).

география жертв 3Commas
Данные: HAPI.

В октябре 2022 года произошло всего четыре случая кражи средств с общими потерями пользователей на $470 000. У в ноябре количество подтвержденных аналитиками жертв выросло до 24. Их убытки оцениваются в $14,9 млн.

кража ключей 3Commas
Данные: HAPI.

«Похоже, всех китов вычистили в ноябре», — отметили в НАPI.

Подавляющее большинство скомпрометированных API-ключей сгенерировано в 2022 году (около 78% от общего количества). Впрочем, четыре случая связаны с ключами, созданными в 2020 году, а два — с ключами 2019 года.

Роль бирж

Сервис 3Commas поддерживает более двух десятков бирж, однако пострадали только пользователи Binance, KuCoin и Coinbase Pro, также есть один подтвержденный случай с клиентом Bittrex.

«Может быть проблема не только в 3Сommas? Косвенно мы можем связать данный факт с настройками бирж по управлению API-ключами пользователей. Большинство бирж по умолчанию деактивируют трейдерские ключи по прошествии 3-6 месяцев. В случае с Binance, утечка затронула ключи, сгенерированные более трех лет назад», — отметили в HAPI.

По словам аналитиков, в ноябре 2022 года команда Binance уже знала об инциденте. В начале декабря специалисты HAPI обратились к бирже с просьбой содействовать расследованию, но представитель платформы отказался присоединиться к инициативе и посоветовал обратиться в правоохранительные органы. 

В компании подчеркнули, что у затронутых бирж была возможность снизить ущерб пользователей. В частности, они могли отозвать API-ключи, заморозить вовлеченные аккаунты до выяснения обстоятельств, обратиться к специалистам по кибербезопасности. 

Вместо этого Binance, а позже и KuCoin с Coinbase, долгое время не сообщали клиентам о необходимости деактивировать ключи, несмотря на многочисленные жалобы и подозрения касательно утечки данных.

На данный момент все биржи уже отключили API-ключи от 3Commas, пояснили в HAPI.

Что дальше? 

В HAPI подтвердили, что 29 декабря 2022 года ФБР подключилось к расследованию инцидента. 3Commas попала под прицел ведомства, поскольку среди пострадавших пользователей превалируют граждане США, а часть серверов компании находятся на территории Соединенных Штатов.

Роль также сыграли немалая оценочная сумма ущерба клиентов платформы и тот факт, что пострадавшие пользователи намерены подать против 3Commas коллективный иск.

«Окажет ли ФБР сильное влияние? Я не уверен в этом. Особенно, если 3Commas предложит людям частичную компенсацию или еще что-то. Но Киберполиция Украины была на связи с ФБР. […] Группа американцев, которая готовит коллективный иск, пригласила пострадавших пользователей из Украины, страны Балтики, ЕС, Великобритании присоединиться. Конечно, коллективный иск в США призван защитить граждан США, однако пострадавшие из других стран добавляют ему веса. Поможет ли он пострадавшим из других юрисдикций? Думаю, поможет», — рассказали в HAPI.

Представители 3Commas и Binance не смогли оперативно предоставить комментарии касательно утечки пользовательских данных. ForkLog обновит материал, когда получит ответы от указанных компаний.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK