Le passage à la nouvelle année va être compliqué pour Yuriy Sorokin, PDG actuel de la société de trading automatisé 3Commas. Car ce qui aurait pu se résumer à un « simple » hack de ses données clients vient de se transformer en une possible affaire de faute professionnelle aux conséquences dramatiques.
Cela pour la simple raison qu’il a nié pendant plus de deux mois une situation qu’il vient finalement de reconnaître officiellement 14,8 millions de dollars dérobés plus tard. Avec, pour le moment, 44 victimes déclarées de ce qui semble être une fuite des clés API de ses clients. Cette option qui permet de déléguer tout ou partie de la gestion de son compte sur une plateforme de cryptomonnaies à une structure tierce. Explications…
3Commas – Au moins 14,8 millions de dollars dérobés
Les clients de la société 3Commas ne décolèrent pas en cette fin de semaine. Et on peut les comprendre puisque son PDG, Yuriy Sorokin, vient de reconnaître officiellement hier ce que tout le monde soupçonnait déjà depuis des semaines. Et cela alors même qu’il a passé son temps à nier l’évidence. Le tout en ne manquant pas d’accuser les personnes à l’origine de publications sur le sujet de vouloir faire circuler « de fausses captures d’écran, affirmant que des employés ont volé des clés API ». Pourtant le FUD présumé était finalement bien plus qu’un simple écran de fumée…
« Nous avons vu le message du pirate et pouvons confirmer que les données contenues dans les fichiers sont vraies. Comme action immédiate, nous avons demandé à Binance, Kucoin et aux autres échanges pris en charge de révoquer toutes les clés qui étaient connectées à 3Commas. »
Et par « pirate » il faut comprendre qu’il s’agit finalement d’un compte Twitter ayant mis le nez de Yuriy Sorokin dans les problèmes qu’il refusait de voir depuis des semaines. Cela avec la publication d’une partie de la base de données de 3Commas contenant, entre autres, les clés API de certains utilisateurs de cette plateforme de trading. Impossible donc de continuer à nier l’évidence. Avec une « action immédiate » qui ressemble à une mauvaise blague compte tenu du délai nécessaire à la prise de cette simple décision : « révoquer toutes les clés qui étaient connectées à 3Commas ».
3Commas – Une affaire de déni d’initié
Mais le pire dans cette affaire n’est pas le détournement, pour le moment encore inexpliqué, des clés API des clients de 3Commas. En effet, le véritable point sensible est le déni affiché par Yuriy Sorokin à l’égard de ses clients dans ce qu’il nommait avec mépris la « saga des clés API ». Car le nombre de plaintes se faisait de plus en plus important ces dernières semaines. Mais selon ce dernier, tout cela n’était rien de plus que la conséquence d’une campagne de phishing résultant de la crédulité des victimes concernées.
Et même la publication du fondateur de Binance, Changpeng Zhao, le 14 novembre dernier, n’y aura rien changé. Car il aura fallu attendre encore plus d’un mois et demi avant que de véritables mesures soient effectivement prises. Cela ne faisant qu’augmenter la facture des pertes enregistrées par les clients de 3Commas.
« Nous avons vu au moins 3 cas d’utilisateurs qui ont partagé leur clé API avec des plateformes tierces (Skyrex et 3commas) et vu des échanges inattendus sur leurs comptes. Si vous avez déjà utilisé une telle plateforme, je vous recommande fortement de supprimer vos clés API par sécurité«
Car le montant du préjudice, pour le moment estimé à 14,8 millions de dollars par le compte Twitter ZachXBT, pourrait finalement n’être que la partie émergée de cet iceberg. Car cela ne concerne que 44 victimes ayant décidé d’agir publiquement pour amener cette affaire au grand jour. Mais le nombre de clients concernés pourrait bien être beaucoup plus important. Et il sera difficile de se fier aux chiffres que pourrait donner 3Commas…
-
HACKS & SÉCURITÉ1inch : un exploit TrustedVolumes vide 5,9 M$ en ETH et BTC
