Több felhasználót is kár ért a 3commas használata során. Ha te is használod az oldalt, érdemes megtenned néhány óvintézkedést.
Egyre több közösségi médiás bejegyzést lehet olvasni arról, hogy valaki újra és újra átveszi az irányítást a 3commas felhasználók fiókjai felett. A 3commas a legnagyobb automatizált kripto kereskedést lehetővé tevő platform, amin keresztül havonta több mint 20 milliárd dollárt forgatnak meg az oldal ügyfelei.
Az elkövetők a jogtalan hozzáférést arra használják fel, hogy a 3commasra bekötött tőzsdei fiókokon keresztül kis forgalmú kriptopénzeket vásárolnak, amivel néhány perc alatt az egekbe pumpálják azok árfolyamát. Miközben az emelkedésből a hackerek feltehetően profitálni tudnak, az érintett 3commas felhasználók nagy árfolyamveszteséget szenvednek el, miután az adott coin általában gyorsan korrigál, és elkezd visszatérni az emelkedés előtt mért árfolyamára.
3commas at it again @zachxbt pic.twitter.com/S8Q1mpqds9
— Stablecoin Silv (@SilvXBT) December 26, 2022
A 3commas fejlesztői tagadják, hogy közük lenne a dologhoz, vagy hogy tudomásuk lenne arról, hogy bármilyen ezzel kapcsolatos hack áldozatai lettek volna. Szerintük az érintett felhasználók mind valamilyen adathalász támadás áldozatai voltak, és egy kamu oldalon adhatták meg a tőzsdei fiókjukhoz való hozzáférést lehetővé tevő biztonsági kulcsot.
Ha csak egy-egy elszigetelt esetről lett volna szó, talán ennyivel le is zárhatnánk a dolgot, de mivel most már hónapok óta olvashatók az újabb és újabb, és külső szakértők által is hitelesített beszámolók, egyre nagyobb a valószínűsége annak, hogy itt valami más, egyelőre még feltáratlan biztonsági rés, vagy belső (emberi) visszaélés okozhat problémákat. Emiatt érdemes megtenni néhány óvintézkedést.
A csalásban már a Binance, a Kucoin, a Bybit, illetve korábban az FTX-re bekötött 3commas fiókok is érintettek voltak. Mi a Binance-en megtehető biztonsági lépéseket emeljük ki.
A Binance lehetőséget biztosít arra, hogy pontosan beállítsuk, hogy milyen jogokat adunk a fiókunkhoz rendelt külső szoftvereknek.
Az egyik legfontosabb, amit megtehetünk, hogy ha csak a határidős (futures) kereskedési párokon használjuk a 3commast, akkor győződjünk meg arról, hogy az API kulcsunkon nincs engedélyezve a spot kereskedés használata. Mivel a visszaélések egy részében kisebb forgalmú spot párokon került sor, ezzel némiképp már csökkentettük a kockázatokat.
Ha spot párokon is használjuk a 3commast, akkor beállíthatunk egy whitelistet is, vagyis limitálhatjuk azoknak a kriptopénzeknek a körét, amin engedélyezzük a 3commasnak az ügyletek végrehajtását.
Ha csak néhány általunk kedvelt kriptopénz páron végzünk kereskedést, például egy hosszabb távra szóló DCA (költségátlagoló) stratégiát, akkor itt lehet szűkíteni az API-n kereskedhető kriptopénzek körét az általunk favorizált coinokra.
A szűkített listára 30 spot kereskedési párt vehetünk fel.
A legbiztonságosabb megoldás persze az, hogy amíg az ügy tisztázódik, teljesen felhagyunk a 3commas használatával.
1/3 Over the past couple of weeks a number of @3commas_io users have reported unauthorized trades on their CEX accounts.
3Commas blames it on “phishing” but I now have verified a group of 44 victims who’ve had $14.8m in total stolen. pic.twitter.com/49K28a5Pf8
— ZachXBT (@zachxbt) December 20, 2022
Egy korábban számos kripto, DeFi és NFT csalást leleplező blokklánc elemző felkarolta a pórul járt 3commas felhasználók ügyét, és egy néhány nappal ezelőtti bejegyzésében utalt arra, hogy az érintettek jogi eljárás indítását tervezik az oldal ellen. A 44 főből álló csoport tagjait 15 millió dolláros kár érte, ami szerintük azért következett be, mert a 3commas nem kezelte megfelelően a nála megadott API kulcsokat, amikhez valaki(k) hozzáférést szerezhettek és ellophattak.
További hírek és érdekességek Discord csatornánkon és a Youtube-on.
