3Commas API Dispute met en évidence les risques du trading algorithmique

Il y a 5 mois

Malgré le marché baissier, les day traders de crypto-monnaie voient toujours des opportunités de devenir riches. Beaucoup recherchent un avantage en utilisant des robots de trading algorithmiques qui exécutent automatiquement des transactions à tout moment.

Il y a cependant des risques à laisser le code prendre des décisions rapides. Un groupe d’investisseurs organisé sur Telegram affirme avoir été victime de pirates informatiques qui ont compromis l’interface de programmation d’application (API) de la plateforme de trading automatisée 3Commas à hauteur de 22 millions de dollars.

« 3Commas accuse le ‘hameçonnage’ mais j’ai maintenant vérifié un groupe de 44 victimes qui se sont fait voler 14,8 millions de dollars au total », a tweeté ZachXBT.

3Commas API Dispute met en évidence les risques du trading algorithmique

3Commas l’accuse de « hameçonnage », mais j’ai maintenant vérifié un groupe de 44 victimes qui se sont fait voler 14,8 millions de dollars au total.

Dans un document Google Docs partagé dans le groupe Telegram et consulté par Decrypt, les membres disent que les échanges où les transactions non autorisées ont eu lieu incluent Binance, Coinbase Pro et KuCoin.

« Les utilisateurs ont déposé des plaintes sur différents échanges », a écrit ZachXBT. « Il est clair qu’il ne s’agit pas d’hameçonnage et que des clés API ont été volées. »

2/3 Les utilisateurs ont déposé des plaintes sur différents échanges. Il est clair qu’il ne s’agit pas d’hameçonnage et que des clés API ont été volées.

3Commas et son fondateur ont choisi de blâmer ses utilisateurs. Supprimez les clés API si vous ne l’avez pas déjà fait et arrêtez d’utiliser 3 virgules.

Qu’est-ce qu’une API ?

Une API est un ensemble de règles qui définissent comment deux logiciels, dans ce cas, le portefeuille ou le portefeuille d’un trader et un échange de crypto-monnaie, doivent communiquer. Les API sont utilisées pour diverses raisons, offrant aux développeurs un moyen d’accéder à plusieurs services et données, et permettant aux utilisateurs d’interagir avec différentes applications via une interface utilisateur unique.

Qu’est-ce que le trading algorithmique ?

Le trading algorithmique utilise des programmes informatiques, y compris des API, pour exécuter des transactions sur les marchés financiers. Ces programmes, également connus sous le nom de robots de trading, sont conçus pour analyser les conditions du marché et exécuter des transactions déclenchées par des paramètres prédéfinis.

L’un des avantages du trading algorithmique est qu’il permet aux traders d’exécuter rapidement des transactions sans interaction humaine. Les bots de trading peuvent être particulièrement utiles sur les marchés mondiaux en évolution rapide comme la crypto-monnaie, où le trading manuel peut ne pas être possible.

Alors que les bots de trading algorithmique peuvent aider les traders à la recherche d’un avantage, leur utilisation comporte également des risques, tels que des erreurs ou des dysfonctionnements potentiels dans l’algorithme ou un accès compromis à leurs paramètres.

Une arnaque 3Commas antérieure

En octobre 2022, Sam Bankman-Fried, alors PDG de FTX, a versé 6 millions de dollars aux commerçants de FTX qui ont été victimes d’une escroquerie de plusieurs millions de dollars qui a frappé les utilisateurs de FTX via des API 3Commas compromises.

Bankman-Fried a tweeté qu’il était prêt à rémunérer les utilisateurs de FTX touchés par un exploit dans lequel les attaquants utilisaient l’API de 3Commas pour effectuer des transactions sur la bourse, mais a averti que l’action ne devait pas être considérée comme un précédent ou une politique de l’entreprise.

C’EST UNE CHOSE UNIQUE ET NOUS NE LE FAISONS PAS À L’AVENIR.

CECI N’EST PAS UN PRECEDENT.

Nous n’allons pas prendre l’habitude de compenser les utilisations hameçonnées par de fausses versions d’autres sociétés  !

3Commas affirme que le vol des fonds des utilisateurs était dû à une attaque de phishing, et non à leur logiciel, et a qualifié les allégations de fuites ou d’exploits d’API – alors et maintenant – de fausses et propagées par de mauvais acteurs.

Il y a eu de fausses rumeurs partagées par des acteurs de mauvaise foi utilisant des preuves falsifiées pour affirmer que 3Commas a divulgué les clés API des utilisateurs. Ces rumeurs étaient liées à de fausses captures d’écran de journaux Cloudflare qui ont été partagées sur Twitter et Youtube.

co/KVOF2BWlYn

Dans une série d’articles de blog publiés sur le site Web de 3Commas, le co-fondateur Yuriy Sorokin a abordé à plusieurs reprises les allégations contre la plate-forme.

suffisamment pour permettre un accès ouvert aux données des utilisateurs et aux fichiers journaux », a écrit Sorokin, pointant vers un tweet du 10 décembre 2022 qui, selon lui, affirme que les employés de 3Commas volent des clés API.

L’enquête se poursuit

3Commas a affirmé qu ‘ »il n’y a pas de fuites d’API ni d’exposition de notre base de données », et a déclaré qu’il travaillait avec Google pour supprimer les sites Web de phishing essayant de copier sa plate-forme, ce qui pourrait inciter les clients à soumettre leur API. clés.

3Commas a également écrit qu’ils travaillaient avec Binance pour « enquêter sur la cause profonde » et a déclaré que sa propre équipe « trouvait une solution permanente pour résoudre le problème de l’API ». La société n’a pas répondu à une demande de Decrypt pour expliquer le problème d’API qui nécessitait une correction.

En excluant les actions d’initiés, comment un attaquant saurait-il qui attaquer, par hameçonnage ou autre, et quand ?

« Normalement, ma réponse serait » cela dépend «  », a déclaré David Schwed, directeur de l’exploitation de la société de sécurité Web3 Halborn, à Decrypt.

« Si un attaquant était en mesure d’inspecter le trafic réseau, il pourrait obtenir des informations sur qui effectuait des appels d’API en fonction de l’URL ou de l’adresse IP d’origine », a déclaré Schwed. « Cependant, dans ce cas, les utilisateurs de l’API étaient beaucoup plus simples à déterminer. »

« Dans la section développeur de 3commas.io, ils ont un lien de discussion API vers un groupe de près de 1 000 membres », a-t-il expliqué. « Ces membres, je suppose, sont tous des utilisateurs d’API. »

Edmondo « Mundy » Pena, un professionnel de la cybersécurité et un trader algorithmique, a déclaré à Decrypt qu’il utilisait le logiciel de trading de 3Commas depuis 2020, lorsqu’il a entendu parler de la plateforme pour la première fois. À peu près à la même époque, Pena dit avoir lancé son entreprise, Crypto Trading Desk.

Pena dit qu’il a utilisé l’API de 3Commas sur plusieurs portefeuilles pendant un peu moins de deux ans sans problème. Pena dit qu’il a remarqué pour la première fois des problèmes avec son compte de trading pendant les vacances de Thanksgiving en novembre 2022.

« J’avais une API avec un accès activé par le commerce à mon portefeuille », a-t-il déclaré. « Ma plus grande peur s’est réalisée le matin de Thanksgiving lorsque j’ai commencé à voir des milliers d’alertes commerciales se produire sur mon portefeuille. » Pena a déclaré qu’il avait supprimé l’API avant que les voleurs ne vident tous ses fonds.

Pena dit qu’il s’est rendu sur Google pour rechercher ce qui lui était arrivé et a découvert qu’il n’était pas le seul à vivre ce qu’il a fait. Pena dit qu’il travaille avec d’autres qui disent que la même chose leur est arrivée.

Jusqu’à présent, Pena dit qu’il a eu des entretiens en face à face avec près de 60 utilisateurs individuels qui signalent des transactions non autorisées à l’aide de l’API de 3Commas.

En décembre 2022, un commerçant de crypto qui passe par CoinMamba s’est adressé à Twitter pour dire que leur Binance avait été compromise en raison d’une fuite de la clé API 3Commas, ce qui les avait amenés à perdre des fonds.

Salut les gars. Malheureusement, il y a deux jours, mon compte Binance a été exploité via une API que j’ai créée il y a 2 ans et que je n’ai pas utilisée depuis, que j’ai supposé avoir supprimée, mais apparemment non. Il a été utilisé pour effectuer des transactions sur des pièces à faible capitalisation afin de faire grimper le prix afin de réaliser des bénéfices.

Le tweet a conduit à plusieurs échanges entre CoinMamba et le PDG de Binance, Changpeng « CZ » Zhao, qui se sont terminés par la fermeture du compte Binance de CoinMamba.

« Le seul dénominateur commun ici est 3 virgules », a déclaré Pena.

Bien que Pena soit convaincu qu’il y a un problème avec le logiciel 3Commas, il a reconnu que certains des problèmes proviennent du fait que les commerçants oublient et laissent les API attachées à leurs comptes.

« La plupart des gens oublient », dit-il. « La configuration d’API n’est pas quelque chose que vous faites assez souvent. La plupart des gens n’ont jamais eu qu’une seule API associée à leur portefeuille. »

Pena dit à Decrypt que d’autres commerçants concernés examinent également leurs options juridiques et travaillent avec les forces de l’ordre.

Restez au courant des actualités cryptographiques, recevez des mises à jour quotidiennes dans votre boîte de réception.

  • Quelle est la meilleure plateforme de bot de trading crypto ?
    • Tags: , , , ,
    Bybit annonce sa sortie du Canada en invoquant de nouveaux développements réglementaires
    Il y a 53 minutes
    Un guide complet pour un côlon sain
    Il y a 1 heure
    Dévoilement du Stablecoin supérieur pour 2023 : Tokenhell
    Il y a 2 heures
    bitcoin
    Bitcoin (BTC) 25.138,70 0,77%
    ethereum
    Ethereum (ETH) 1.739,86 0,22%
    tether
    Tether (USDT) 0,935150 0,04%
    bnb
    BNB (BNB) 284,91 0,57%
    usd-coin
    USD Coin (USDC) 0,934999 0,02%
    xrp
    XRP (XRP) 0,473055 1,00%
    staked-ether
    Lido Staked Ether (STETH) 1.739,09 0,20%
    cardano
    Cardano (ADA) 0,339831 2,67%
    dogecoin
    Dogecoin (DOGE) 0,067263 0,82%
    matic-network
    Polygon (MATIC) 0,836869 0,86%
    solana
    Solana (SOL) 19,40 0,72%
    tron
    TRON (TRX) 0,070087 0,39%
    litecoin
    Litecoin (LTC) 86,12 3,59%
    polkadot
    Polkadot (DOT) 4,89 1,48%
    binance-usd
    Binance USD (BUSD) 0,935150 0,02%
    shiba-inu
    Shiba Inu (SHIB) 0,000007 0,05%
    avalanche-2
    Avalanche (AVAX) 13,24 0,54%
    dai
    Dai (DAI) 0,934869 0,14%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 25.163,02 0,81%
    uniswap
    Uniswap (UNI) 4,71 0,09%
    chainlink
    Chainlink (LINK) 5,98 0,94%
    leo-token
    LEO Token (LEO) 3,32 1,21%
    cosmos
    Cosmos Hub (ATOM) 9,68 1,79%
    okb
    OKB (OKB) 42,85 0,25%
    monero
    Monero (XMR) 138,14 1,58%
    the-open-network
    Toncoin (TON) 1,67 2,78%
    ethereum-classic
    Ethereum Classic (ETC) 16,71 0,03%
    stellar
    Stellar (XLM) 0,086653 2,83%
    bitcoin-cash
    Bitcoin Cash (BCH) 105,66 0,40%
    internet-computer
    Internet Computer (ICP) 4,38 1,17%
    true-usd
    TrueUSD (TUSD) 0,934908 0,11%
    filecoin
    Filecoin (FIL) 4,38 0,14%
    lido-dao
    Lido DAO (LDO) 1,94 1,28%
    quant-network
    Quant (QNT) 110,40 1,35%
    aptos
    Aptos (APT) 7,97 2,45%
    hedera-hashgraph
    Hedera (HBAR) 0,047848 0,33%
    crypto-com-chain
    Cronos (CRO) 0,055312 1,24%
    arbitrum
    Arbitrum (ARB) 1,08 0,70%
    vechain
    VeChain (VET) 0,018723 1,91%
    near
    NEAR Protocol (NEAR) 1,46 0,03%
    the-graph
    The Graph (GRT) 0,124393 0,00%
    apecoin
    ApeCoin (APE) 2,93 0,72%
    algorand
    Algorand (ALGO) 0,137937 0,31%
    paxos-standard
    Pax Dollar (USDP) 0,934994 0,09%
    the-sandbox
    The Sandbox (SAND) 0,515499 3,81%
    frax
    Frax (FRAX) 0,933910 0,05%
    edgecoin-2
    Edgecoin (EDGT) 0,935150 0,04%
    eos
    EOS (EOS) 0,829088 0,13%
    rocket-pool
    Rocket Pool (RPL) 45,47 0,71%
    elrond-erd-2
    MultiversX (EGLD) 34,49 1,36%