Dywedodd grŵp o fasnachwyr yr wythnos diwethaf hynny Roedd gwerth $22 miliwn o crypto wedi'i ddwyn trwy allweddi API cyfaddawdu o'r llwyfan masnachu 3Comas. Ddydd Mercher, cyfaddefodd 3Commas mai dyma ffynhonnell y gollyngiad API hwnnw.
Daeth y cyhoeddiad ar ôl i ddefnyddiwr Twitter dienw gael tua 100,000 o allweddi API sy’n perthyn i ddefnyddwyr 3Comas a’i gyhoeddi ar-lein.
Roedd 3Commas wedi mynnu i ddechrau nad oedd unrhyw fater diogelwch ar ei ddiwedd, ac awgrymodd y cyd-sylfaenydd Yuriy Sorokin dro ar ôl tro ar Twitter fod ymosodiad gwe-rwydo wedi achosi defnyddwyr i roi'r gorau i'w data.
Ond ddydd Mercher, fe drydarodd Sorokin: “Gwelsom neges yr haciwr a gallwn gadarnhau bod y data yn y ffeiliau yn wir… Mae’n ddrwg gennym fod hyn wedi cyrraedd hyd yn hyn a byddwn yn parhau i fod yn dryloyw yn ein cyfathrebiadau o amgylch y sefyllfa.”
Mae 3Commas yn blatfform sy'n caniatáu i ddefnyddwyr gysylltu cyfrifon cyfnewid crypto lluosog - fel y rhai a gedwir ar Binance - â meddalwedd masnachu awtomataidd. Gwneir hyn i gyd trwy APIs (rhyngwynebau rhaglennu cymwysiadau), y mecanweithiau safonol sy'n galluogi cydrannau meddalwedd ar wahân i gyfathrebu â'i gilydd a chyflawni tasgau. Y syniad yw nad oes rhaid i fodau dynol wneud y gwaith caled o feddwl am eu crefftau. Yn lle hynny, mae'r cyfan yn cael ei wneud yn syth ac yn awtomatig trwy god.
Hyd nes y bydd y bobl anghywir yn cael mynediad i'r APIs.
Blockchain sleuth @ZachXBT dywedodd yn flaenorol ar Twitter ei fod wedi gwirio grŵp o 44 o ddioddefwyr a gollodd gyfanswm o $14.8 miliwn trwy allweddi API a gafodd eu dwyn o 3Comas.
Mewn ymateb, fe drydarodd Sorokin “Os ydych chi'n ddioddefwr, yna mae'n golygu bod eich allweddi wedi gollwng rywsut,” ond “nid o 3Comas.” Pe bai'r allweddi API a ddatgelwyd wedi dod o 3Comas, “byddech chi wedi gweld miliynau o achosion, nid cant,” rhesymodd.
Mewn edau ar wahân, fe ffrwydrodd “anghymhwysedd o ffynonellau cyfryngau mawr” a chwestiynodd ddilysrwydd taenlen o gyfrifon cyfaddawdu llawn ffynonellau. “Rhowch sylw nad oedd mwyafrif y defnyddwyr a adroddodd am golledion hyd yn oed wedi agor tocyn cymorth gyda’r gyfnewidfa, ac nad aethant at yr heddlu,” trydarodd Sorokin. “Sut y gwiriwyd y wybodaeth hon?”
Eto efe honni bod rhy ychydig o ddigwyddiadau iddo fod yn gamfanteisio 3Comas. “Mae yna dros 1 [miliwn] o allweddi yn gysylltiedig â 3Commas, gyda ~100 o ddefnyddwyr yn adrodd am broblemau gyda’u cyfrifon,” trydarodd Sorokin. “Pam fyddai hynny’n digwydd pe bai [cronfa ddata] yn cael ei gollwng?”
Heddiw, fe drydarodd ZachXBT a gyfiawnhawyd “am wythnosau mae [3Commas] wedi bod yn beio ei ddefnyddwyr ac yn derbyn dim cyfrifoldeb.”
“Fe wnaethoch chi ddal i ddweud celwydd a dweud mai ein bai ni oedd hyn yn lle cymryd cyfrifoldeb ac atal rhagor o orchestion,” ychwanegodd @CoinMamba, defnyddiwr 3Comas arall a ddywedodd iddo golli arian. “Ydych chi'n mynd i ad-dalu'r defnyddwyr nawr?”
Nid dyma'r tro cyntaf i 3Commas a'i drin API ddod o dan graffu. Tua mis cyn i FTX ffeilio am fethdaliad, cytunodd Sam Bankman-Fried i ad-dalu $6 miliwn i gwsmeriaid yr effeithiwyd arnynt gan yr hyn a ddisgrifiwyd fel sgam gwe-rwydo cynnwys 3Comas.
Ddydd Mercher, fe drydarodd Prif Swyddog Gweithredol Binance, Changpeng Zhao, ei fod yn “rhesymol sicr” bod “gollyngiadau allwedd API eang” gan 3Commas.
Ychwanegodd CZ y dylai defnyddwyr analluogi eu bysellau API yn 3Commas. Dyma beth mae 3Comas nawr yn ei argymell hefyd.
“Fel cam gweithredu ar unwaith, rydym wedi gofyn i Binance, Kucoin, a chyfnewidfeydd â chymorth eraill ddirymu’r holl allweddi a oedd yn gysylltiedig â 3Commas,” trydarodd Sorokin.
Nid yw 3Comas wedi ymateb i gais am sylw pellach gan Dadgryptio.
Arhoswch ar ben newyddion crypto, mynnwch ddiweddariadau dyddiol yn eich mewnflwch.
Ffynhonnell: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
