analyse de l’incident 3Commas de HAPI

Temps de lecture :9 Minutes, 24 Secondes

Les clés API fuient du service 3commas

Depuis plusieurs mois maintenant, la communauté discute de la fuite des clés API de la plateforme 3Commas. Ce dernier n’a reconnu la compromission des données qu’en décembre 2022, même si les premières plaintes remontent à octobre.

L’équipe du protocole de sécurité décentralisé HAPI a partagé une analyse détaillée de l’incident avec ForkLog. Les experts ont évalué les dommages causés aux clients, expliqué comment les actifs ont été volés aux utilisateurs de plateformes centralisées et parlé d’un recours collectif qu’ils s’apprêtent à intenter contre 3Commas aux États-Unis.

Les « fausses rumeurs » se sont avérées vraies

En octobre 2022, 3Commas, en collaboration avec l’équipe d’échange de crypto-monnaie FTX, a signalé la compromission d’un certain nombre de clés API, qui ont ensuite été utilisées pour effectuer des transactions non autorisées avec le jeton DMM Governance (DMG).

Certains clients de la plateforme de trading algorithmique ont signalé que des clés ont été utilisées pour effectuer des transactions sur Binance, KuCoin et Coinbase sans leur consentement.

Les représentants de 3Commas ont alors qualifié ces informations de « fausses rumeurs ».

L’équipe de la plate-forme n’a confirmé la fuite des données des utilisateurs qu’en décembre, lorsque le responsable de Binance, Changpeng Zhao, a mis en garde contre les problèmes pertinents.

Il a été rapporté qu’environ 100 000 clés API sont tombées entre les mains d’attaquants. 10 000 d’entre eux ont été placés dans le domaine public et ont promis de publier le reste plus tard.

3Commas a confirmé la pertinence des informations divulguées sur le réseau.

Selon les données préliminaires de HAPI, « des dizaines de personnes » ont été blessées dans l’incident. Les analystes ont noté que le nombre réel de victimes pourrait se compter par milliers et que leurs dommages cumulés pourraient être estimés à des dizaines de millions de dollars.

Qu’est-ce que 3 virgules ?

3Commas est un service de trading algorithmique d’actifs numériques lancé en 2017. Selon HAPI, la société enregistrée en Estonie a été fondée par des immigrants de Russie – Yuri Sorokin, Mikhail Goryunov et Yegor Razumovsky.

Les robots de trading de la plateforme fonctionnent avec de nombreux échanges de crypto-monnaie. En particulier, 3Commas est un partenaire de Binance et FTX, qui est maintenant en voie de faillite.

La société a également reçu un financement d’une autre filiale du groupe FTX, la tristement célèbre Alameda Research.

Problèmes de sécurité

Le site Web 3Commas affirme que la plate-forme « prend la sécurité des utilisateurs au sérieux ».

Dans le même temps, les premières plaintes des utilisateurs concernant la compromission des clés API en octobre 2022 ont été soit ignorées par l’équipe du projet, soit qualifiées de rumeurs. En novembre, des dizaines de personnes ont signalé des problèmes et la situation « est devenue incontrôlable ».

La direction de 3Commas a déclaré que dans les limites de l’enquête interne n’a pas révélé de preuves de la participation à la fuite des données des employés.

HAPI affirme que peu de temps avant l’incident, ainsi que pendant la période où les premières plaintes sont apparues, certains des développeurs ont quitté l’entreprise. Les analystes ont réussi à contacter certains d’entre eux – sous couvert d’anonymat, ils ont confirmé que l’un des initiés pouvait « fusionner » les clés d’utilisateur.

« 3Commas a un code complètement fermé, un logiciel fermé, un développement fermé. Il n’y a pas de vérification. Pendant cinq ans de fonctionnement du courtier officiel Binance, le partenaire officiel de FTX – pas un seul audit public. […] Tout ce que nous apprenons, nous l’apprenons uniquement des développeurs à la retraite et des victimes. […] Et cela sur fond de déclarations concernant un énorme volume de transactions via le logiciel qu’ils fournissent – 23 milliards de dollars par mois, pour être exact », a déclaré un représentant de HAPI à ForkLog.

De plus, l’un des anciens membres de l’équipe de la plateforme a déclaré qu’au temps des premières plaintes des utilisateurs, les co-fondateurs de l’entreprise, lors de conversations avec des employés, auraient qualifié la situation de critique et déclaré « la fin de 3Commas ». .

Cependant, au fil du temps, la rhétorique a changé. Le service a nié toutes les accusations pendant des mois, faisant allusion à la négligence de ses clients.

Comment les attaquants ont-ils volé les fonds des utilisateurs ?

Selon les analystes, les attaquants ont utilisé des comptes tiers sur des plateformes centralisées pour passer des ordres de vente d’actifs peu liquides à un prix élevé.

Ensuite, via les comptes des victimes, auxquels ils ont eu accès via l’API, les criminels ont échangé ces actifs du carnet de commandes contre des actifs très liquides.

Les spécialistes ont noté qu’il ne s’agissait pas seulement de contre-trading, mais aussi de flush trading. À titre d’exemple, ils citent une situation dans laquelle, avant l’attaque, la valeur des liquidités de la victime était estimée à 50 BTC, et après, lorsque le stratagème Pump and Dump est passé, elle était de 7 BTC. Dans le même temps, 43 BTC « s’installent » de l’autre côté.

HAPI a souligné que, ayant accès aux clés API des utilisateurs, les attaquants contournaient 2FA et d’autres outils de sécurité disponibles sur les échanges. Les analystes ont également noté qu’on ne sait pas si les données client cryptées par 3Commas – en raison de la nature fermée de l’architecture du service, il est impossible de le vérifier.

Incident en chiffres

Selon HAPI :

  • au 10 janvier 2023, le nombre d’utilisateurs concernés était de 86 personnes de 32 pays ;
  • le montant confirmé des dommages aux clients de 3Commas est estimé à 27 285 845 $. Le plus petit montant de pertes est d’environ 500 $, le plus important est de 5,9 millions de dollars;
  • la plupart des victimes sont des citoyens des États-Unis (21), de la Grande-Bretagne (11), ainsi que de l’Ukraine, du Canada et de la Thaïlande (4 pour chaque juridiction). 19 cas sont associés à des résidents de l’UE ;
  • parmi les victimes, les plus utilisateurs sont Binance (47), KuCoin (28), Coinbase Pro (10) et Bittrex (1).

Les analystes ont noté que six utilisateurs avaient perdu plus d’un million de dollars chacun. Au total, ils représentent environ 67 % des dommages totaux, soit 18,3 millions de dollars.

les plus grandes victimes de 3Commas
Données : HAPI.

Les utilisateurs de Binance ont perdu le plus d’argent – environ 23,5 millions de dollars au total. KuCoin et Coinbase Pro représentaient respectivement 2,1 millions de dollars et 1,5 million de dollars.

Victimes de 3Сommas sur les échanges.  Données : HAPI
Données : HAPI.

En termes de pays, les résidents de la Thaïlande ont subi les dommages les plus importants – plus de 6,4 millions de dollars. En deuxième place, les citoyens du Royaume-Uni (5,5 millions de dollars) et en troisième place, les résidents de l’UE (4,8 millions de dollars).

géographie des victimes de 3Commas
Données : HAPI.

En octobre 2022, il n’y a eu que quatre cas de vol de fonds avec une perte totale d’utilisateur de 470 000 $. En novembre, le nombre de victimes confirmé par les analystes est passé à 24. Leurs pertes sont estimées à 14,9 millions de dollars.

Vol de clé 3virgules
Données : HAPI.

« Il semble que toutes les baleines aient été nettoyées en novembre », a noté le NAPI.

La grande majorité des clés API compromises ont été générées en 2022 (environ 78 % du total). Cependant, quatre cas sont liés à des clés générées en 2020, et deux sont liés à des clés créées en 2019.

Le rôle des échanges

Le service 3Commas prend en charge plus de deux douzaines d’échanges, cependant, seuls les utilisateurs de Binance, KuCoin et Coinbase Pro ont été concernés, il y a aussi un cas confirmé avec un client Bittrex.

“Peut-être que le problème n’est pas seulement dans 3Сommas ? Indirectement, nous pouvons associer ce fait aux paramètres d’échanges pour la gestion des clés API des utilisateurs. La plupart des échanges désactivent les clés de commerçant par défaut après 3 à 6 mois. Dans le cas de Binance, la fuite a affecté les clés générées il y a plus de trois ans », a noté HAPI.

En novembre 2022, l’équipe de Binance était déjà au courant de l’incident, selon les analystes. Début décembre, les spécialistes de HAPI se sont tournés vers l’échange avec une demande d’assistance à l’enquête, mais le représentant de la plateforme a refusé de se joindre à l’initiative et a conseillé de contacter les forces de l’ordre.

La société a souligné que les bourses concernées avaient la possibilité de réduire les dommages causés aux utilisateurs. Ils pourraient notamment révoquer des clés API, geler les comptes concernés jusqu’à ce que les circonstances soient clarifiées ou contacter des spécialistes de la cybersécurité.

Au lieu de cela, Binance, et plus tard KuCoin avec Coinbase, n’ont pas informé les clients de la nécessité de désactiver les clés pendant longtemps, malgré de nombreuses plaintes et suspicions de fuites de données.

Pour le moment, tous les échanges ont déjà désactivé les clés API de 3Commas, a expliqué HAPI.

Et après?

HAPI a confirmé que le 29 décembre 2022 FBI rejoint l’enquête sur l’incident. 3Commas relevait du champ d’application du département, puisque les citoyens américains prédominent parmi les utilisateurs concernés et que certains des serveurs de l’entreprise sont situés aux États-Unis.

Le montant considérable des dommages estimés pour les clients de la plateforme et le fait que les utilisateurs concernés ont l’intention de déposer un recours collectif contre 3Commas ont également joué un rôle.

« Le FBI aura-t-il un fort impact ? Je ne suis pas sûr de cela. Surtout si 3Commas offre aux gens une compensation partielle ou quelque chose du genre. Mais la Cyber ​​​​Police d’Ukraine était en contact avec le FBI. […] Un groupe d’Américains, qui prépare un recours collectif, a invité les utilisateurs concernés d’Ukraine, des pays baltes, de l’UE et du Royaume-Uni à se joindre. Bien sûr, un recours collectif aux États-Unis vise à protéger les citoyens américains, mais les victimes d’autres pays y ajoutent du poids. Aidera-t-il les victimes d’autres juridictions? Je pense que cela aidera », a déclaré HAPI.

Les représentants de 3Commas et Binance n’ont pas été en mesure de commenter rapidement les données utilisateur divulguées. ForkLog mettra à jour le matériel lorsqu’il recevra des réponses des sociétés cotées.

Lisez les actualités ForkLog bitcoin dans notre Telegram – actualités, cours et analyses sur les crypto-monnaies.

Vous avez trouvé une erreur dans le texte ? Sélectionnez-le et appuyez sur CTRL + ENTRÉE



Voir l’article original sur forklog.com