Мы подготовили небольшой обзор истории взлома платформы для торговли криптовалютой 3commas. Рассказываем, что известно о взломе, как развивалась ситуация вокруг 3commas. Также рассказываем, как отреагировали на взлома разработчики и пользователи платформы.
Что такое 3Commas
3Commas – платформа для алготрейдинга на криптовалютных биржах. Как и другие подобные платформы, подключается к биржам через API-ключи. Обзор на 3commas вы найдете здесь.
В нескольких словах, API-ключи криптобиржи – это аналоги логина и пароля, через которые пользователь “авторизируется” в стороннем приложении для работы со своим счетом. С помощью ключей можно просматривать информацию о счете (включая баланс и данные о транзакциях), совершать сделки, вводить и выводить средства через сторонние программы. Разрешения ключей API настраиваются. По умолчанию ключи API умеют только “читать” счет пользователя (отслеживать историю транзакций). Все остальные функции – опциональны и настраиваются пользователем на его усмотрение.
Подробно о том, что такое ключи API и как они работают, читайте в этой статье.
Взлом 3Commas
22 октября 2022 года 3Commas столкнулась с нарушением безопасности, которое затронуло данные их пользователей. Платформу взломали, и хакеры получили доступ к пользовательским данным. Взлом затронул API-ключи для бирж Binance, FTX, KuCoin и Bittrex. Используя уязвимость 3commas, хакеры получили доступ к выставлению сделок от лица пользователей на разных биржах. Это привело к множеству незапланированных, убыточных сделок и ликвидациям позиций пользователей.
Взлом 3commas широко освещался в СМИ (РБК, ForkLog и т. д.). Во многих публикациях сообщалось о взломе и его влиянии на пользователей платформы.
Изначально команда 3commas отрицала взлом и утечку ключей. Представители платформы заявили, что ключи были скомпрометированы в ходе фишинговых атак. Также они настаивали на том, что сама платформа безопасна.
28 декабря в сети появился “слив” 100 тыс. связанных с 3commas API-ключей для бирж Binance и KuCoin. После “слива” CEO 3commas Юрий Сорокин признал факт взлома.
Сообщение Сорокина: “Мы видели сообщение от хакера и можем подтвердить, что данные в его файлах настоящие. Мы в экстренном порядке попросили Binance, KuCoin и другие биржи отозвать все ключи, подключенные к 3commas.” Также Сорокин добавил: “Мы сожалеем, что все зашло так далеко, и продолжим быть прозрачными в наших сообщениях о ситуации”.
На фоне взлома 3commas, СЕО Binance Чанпэн Чжао призвал пользователей биржи отключить и удалить все ключи, когда-либо предоставленные 3commas, со всех бирж.
На текущий момент инцидент расследуется ФБР. По заверениям основателя и CEO 3commas Юрия Сорокина, компания проводит внутреннее расследование – рассматривается версия кражи API-ключей кем-то из сотрудников.
Какие уроки можно извлечь из взлома
Взлом 3commas напоминает о важности защиты API-ключей – как со стороны платформы, так и со стороны пользователя.
Первое правило для пользователей – не “сорить” ключами в публичном пространстве. Второе правило – соблюдать “гигиену”: одна пара ключей – один сервис. Для другого сервиса – другая пара ключей. Третье правило – не включать для ключей больше опций, чем нужно. Если ключи нужны для онлайн-дневника трейдера, хватит параметра “Только просмотр”.
Хранить ключи API “под подушкой” не обязательно. Секретный ключ отображается только один раз – при создании связки. Создали ключи, скопировали их, подключили нужный сервис и “пошли”. В случае дисконнекта сервиса с биржей, можно будет создать новую связку.
Для безопасности аккаунта на криптовалютной бирже важно использовать двухфакторную аутентификацию (2FA). Желательно, через Google Authenticator или другое доступное на бирже приложение. 2FA черз СМС – менее безопасный способ.
Также для ключей API можно настроить белый список IP-адресов. Для этого потребуется статический IP (эту услугу можно оформить у провайдера). Если ключи API будут привязаны к конкретному IP, воспользоваться ими через устройство с другим IP будет нельзя.
Еще один вариант – использование для подключения стороннего сервиса к биржевому счету ключей RSA. Но такая возможность пока что реализована не у всех бирж. Подробнее о ключах RSA можно почитать здесь.
Больше о том, как обезопасить биржевой аккаунт, читайте в нашем гайде.
Безопасность пользователей в CScalp
Взлом 3commas показал, что даже надежно защищенные ключи можно скомпрометировать, если есть уязвимость в платформе. Пожалуй, главной причиной утечки ключей у 3commas было то, что платформа хранила ключи пользователей на своих серверах. При подключении пользователи передавали свои ключи на хранение платформе. Как говорится, “Not your keys – not your crypto”. Единственный способ предотвратить такой сценарий – хранить ключи API локально, на компьютерах пользователей, без выгрузки на сервер.
Торговый терминал CScalp не хранит ключи API. Ключи “содержатся” локально, на компьютере пользователей. На терминал можно установить пин-код, который будет запрашиваться при каждом запуске. Пин-код не хранится в приложении, что исключает возможность его утечки. При попытке несанкционированного входа, CScalp удаляет все данные пользователя – приложение запустится, но ключи API и настройки будут стерты. Конфиденциальные данные пользователя не попадут в “чужие” руки.
При работе с CScalp рекомендуется не передавать какие-либо данные третьим лицам, в том числе ключи API и пин-код терминала. Собственно, как и при работе с любой другой торговой платформой.
