La plateforme de bots crypto 3Commas confirme une fuite importante de clés API appartenant à ses utilisateurs
Par Eric Martin 
Mauvaise passe pour la plateforme de bots crypto 3Commas qui a confirmé la fuite de nombreuses clés API appartenant à ses utilisateurs.
Pour rappel, une clé API permet à un bot trading d’accéder à un compte sur un échange crypto du type Binance ou Kucoin afin de pouvoir effectuer des transactions de trading automatisées.
Si vous utilisez les robots de trading crypto 3Commas, il faut donc désactiver au plus vite la clé API liée à cette plateforme de trading automatique.
Pour du crypto trading automatisé, il est préférable d’utiliser les bots crypto du leader français Kryll, réputé pour sa sécurité: cliquez ici pour en savoir plus sur leur plateforme de crypto trading automatisé.
« Nous avons vu le message du pirate et pouvons confirmer que les données contenues dans les fichiers sont vraies. Comme action immédiate, nous avons demandé à Binance, Kucoin et aux autres échanges pris en charge de révoquer toutes les clés qui étaient connectées à 3Commas. », déclare 3Commas.
3Commas Statement:
1) We have seen the hacker's message and can confirm that the data in the files is true. As an immediate action, we have requested that Binance, Kucoin and other supported exchanges revoke all keys that were connected to 3Commas. pic.twitter.com/ZMuzCqeF1j
— 3Commas (@3commas_io) December 28, 2022
Des problèmes avaient été signalés plusieurs mois auparavant par des clients de la plateforme qui s’étaient fait voler des fonds sur Binance et FTX, 3Commas avait alors estimé que ces personnes avaient été victimes d’attaques phishing.
FTX avait d’ailleurs remboursé 6 millions de dollars aux utilisateurs qui s’étaient fait voler des cryptomonnaies via l’utilisation de leur clé API, cliquez ici pour lire notre article.
Les informations récentes publiées sur les réseaux sociaux révèlent au final qu’il ne s’agit donc pas d’une arnaque phishing mais que près de 100 000 clés API provenant de la plateforme de bots crypto 3Commas ont été effectivement volées en interne ou piratées par un hacker, et sont entre les mains de personnes malveillantes.
1/ Six hours ago an account messaged me and sent over a db with api keys of 3Commas users. I began working to verify its validity and quickly shared the info with exchanges. pic.twitter.com/MBKatUyzBE
— ZachXBT (@zachxbt) December 28, 2022
C’est après un tweet du PDG de Binance, dans lequel il invite les utilisateurs de 3Commas à désactiver leur clé API, que la plateforme de robots Bitcoin 3Commas a finalement confirmé cette fuite de clés API qui s’expliquerait par un piratage de ses serveurs.
« Je suis raisonnablement sûr qu’il y a des fuites de clés API très répandues de 3Commas. Si vous avez déjà mis une clé API dans 3Commas (à partir de n’importe quel échange), veuillez la désactiver immédiatement. Restez #SAFU. »
I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.
Stay #SAFU.
— CZ 🔶 Binance (@cz_binance) December 28, 2022
I strongly believe @tier10k is correct here, not 3comma's official response (BS). https://t.co/gV4DxVfxUZ
— CZ 🔶 Binance (@cz_binance) December 28, 2022
Certains évoquent l’hypothèse d’un employé de 3Commas qui aurait vendu ces bases de données contenant les clés API de nombreux utilisateurs de l’entreprise spécialisée dans le crypto trading automatisé.
Reste à voir désormais si les utilisateurs de 3Commas qui se sont fait voler des fonds crypto seront indemnisés par la plateforme qui déclarait hier encore qu’il n’y avait pas de fuite de clés API…
There is no API leak on 3Commas. Here is a statement on this FUD. https://t.co/4Hzn5wksDK
We have encouraged victims to make a police report so that exchanges can be investigated for the KYC account making these trades to track funds and return them to the user.
— 3Commas (@3commas_io) December 28, 2022
Cette faille de sécurité a pour conséquence d’amener les utilisateurs de bots crypto, qu’il s’agisse de traders professionnels ou de particuliers, à se reporter sur des services concurrents jugés plus sûrs tels que Kryll, Cryptohopper ou Haasbot.
Après FTX, Terra (LUNA), 3AC, Celsius, ou Voyager Digital, l’affaire 3Commas nous rappelle que l’année 2022 n’est pas encore terminée et qu’elle peut encore nous réserver certaines surprises.
Suivez Conseils Crypto sur Telegram, Facebook et Twitter.
