Le 28 décembre, Changpeng Zhao (CZ), PDG de Binance, a averti ses 8 millions d'abonnés sur Twitter qu'il était « relativement sûr » qu'il y avait des fuites de clés API sur la plateforme de gestion des exchanges crypto.

Je suis raisonnablement sûr qu'il y a des fuites de clés API très répandues chez 3Commas. Si vous avez mis une clé API dans 3Commas (de n'importe quel exchange), veuillez la désactiver immédiatement. Restez #SAFU. - CZ Binance (@cz_binance) 28 décembre 2022

Il convient de noter que le communiqué de CZ fait suite à un incident survenu le 9 décembre dernier, au cours duquel Binance a annulé le compte d'un utilisateur qui s'était plaint d'avoir perdu des fonds un jour plus tôt. Cet utilisateur a affirmé qu'une clé API fuitée liée à 3Commas avait été utilisée « pour effectuer des transactions sur des coins à faible capitalisation afin de faire monter le prix pour réaliser des bénéfices ». Binance a refusé de rembourser l'utilisateur. CZ a tweeté que la perte était invérifiable, et que si la société compensait de telles pertes, « nous paierions simplement pour que les utilisateurs perdent leurs clés API ».

Mamba, il n'y a presque aucun moyen pour nous d'être sûrs que les utilisateurs n'ont pas volé leurs propres clés API. Les transactions ont été effectuées en utilisant les clés API que vous avez créées. Sinon, nous ne ferions que payer pour que les utilisateurs perdent leurs clés API. J'espère que vous comprenez. - CZ Binance (@cz_binance) Le 9 décembre 2022

Le 11 décembre, le PDG de 3Commas, Yuriy Sorokin, a affirmé sur le blog de l'entreprise que de fausses captures d'écran circulaient sur Twitter et YouTube, prétendant que la sécurité de l'entreprise était déficiente et que les employés volaient les clés API. Sorokin a démenti ces allégations dans une analyse technique approfondie des images :

« La personne qui a créé les captures d'écran a fait du bon travail avec un éditeur HTML, mais elle a commis quelques erreurs clés qui prouvent facilement que ses affirmations sont fausses. Nous allons les passer en revue point par point. »

C'est fin octobre que les problèmes de sécurité sont apparus pour la première fois chez 3Commas. À cette époque, l'exchange FTX, qui était encore en activité, a émis une alerte de sécurité en réponse à des informations fournies par des utilisateurs signalant que des échanges non autorisés de paires d'échange avec le coin DMG avaient eu lieu sur FTX. 3Commas et FTX ont constaté que des pirates avaient créé des comptes 3Commas pour effectuer ces transactions. Cependant, selon le blog de 3Commas, « les clés API n'ont pas été obtenues auprès de 3Commas mais en dehors de la plateforme 3Commas ».

À lire également : Voici comment Binance protège ses utilisateurs avec un programme de trading responsable

Dans un article de blog publié par la suite, Sorokin a reconnu que « nous avons des preuves tangibles que le phishing a été, au moins en partie, un facteur contributif » dans les pertes subies par les utilisateurs.

Dans le même temps, un utilisateur de Twitter a affirmé que toutes les clés API de 3Commas ont fuité.

PSA. Des informations ont été publiées au sujet de la fuite de l'API de 3Commas. Pour ceux qui ne l'ont pas encore fait, enlevez votre clé d'API (pic.twitter.com/yEvrxyWBIq). - db (@tier10k) 28 décembre 2022

Maintenant, Sorokin a confirmé la fuite, et a ajouté que rien ne prouvait qu'il s'agissait d'un coup monté de l'intérieur.