Gwadodd cwmni masnachu crypto 3Comas allweddi API defnyddiwr a ddygwyd gan ei weithwyr, gan honni bod y sgrinluniau sy'n cylchredeg ar gyfryngau cymdeithasol yn ffug, ac anogodd y defnyddwyr yr effeithiwyd arnynt i ffeilio adroddiad heddlu er mwyn atal tynnu'n ôl mewn cyfnewidfeydd.
Mewn post blog a gyhoeddwyd ar Ragfyr 11, cyd-sylfaenydd 3Commas a Phrif Swyddog Gweithredol Yuriy Sorokin Dywedodd bod sgrinluniau ffug o logiau Cloudflare yn cylchredeg ar Twitter a YouTube “mewn ymgais i argyhoeddi pobl bod bregusrwydd o fewn 3Comas a’n bod ni’n ddigon anghyfrifol i ganiatáu mynediad agored i ddata defnyddwyr a ffeiliau log.” Mae'r sgrinluniau honedig bwriadu i ddangos sut y datgelwyd allweddi API cwsmer yn dangosfwrdd 3Commas ar Cloudflare.
Mae ail bost blog gan Sorokin o Rag.10, yn annog defnyddwyr yr effeithir arnynt i ffeilio adroddiad heddlu er mwyn rhewi cyfrifon ar gyfnewidfeydd. “Po gyflymaf y gwneir hyn, gall y cyfnewidiadau cyflymach rewi cyfrifon y cyflawnwyr i atal arian rhag cael ei dynnu’n ôl a chynyddu’r tebygolrwydd y bydd rhywfaint, neu’r cyfan, o’r arian yn cael ei ddychwelyd i ddioddefwyr.”
Gan fod mwyafrif y cyfnewidfeydd crypto a ganlyn yn gwybod eich safonau cwsmeriaid, mae'n ofynnol i ddefnyddwyr ddarparu manylion hunaniaeth i fasnachu neu dynnu arian yn ôl. Pe bai defnyddwyr yr effeithir arnynt yn darparu adroddiad heddlu, byddai cyfnewidfeydd yn gallu rhannu'r wybodaeth hon ag ymchwilwyr, nododd y cwmni.
As Adroddwyd gan Cointelegraph, roedd masnachwr crypto o'r enw CoinMamba ar Twitter wedi cau ei gyfrif ar lwyfan Binance ar ôl iddo gwyno am arian coll. Mae'r allwedd API sydd wedi'i gollwng wedi'i chlymu i gyfrif 3Comas. Mae'r ddau gwmni, Binance a 3Comas, yn gwadu unrhyw gyfrifoldeb am y digwyddiad.
Mae 3Comas yn honni ei fod wedi nodi tystiolaeth o ymosodiadau gwe-rwydo fel “ffactor cyfrannol” ar gyfer lladradau. Yn ôl i'r cwmni, dechreuodd yr ymosodiadau gwe-rwydo ym mis Hydref, gydag actorion drwg yn rhoi cynnig ar wahanol dechnegau gwe-rwydo. Dywedodd Sorokin:
“Hefyd, mae gennym ni dystiolaeth gadarn bod gwe-rwydo o leiaf yn ffactor cyfrannol; fe wnaethom gyhoeddi erthygl blog yma yn dangos llawer o wefannau ffug 3Commas a gafodd eu creu ac mae rhai yn dal yn fyw ar y rhyngrwyd, er gwaethaf ein hymdrechion gorau i gael eu tynnu i lawr.”
Mae cysylltiadau Exchange API sy'n hŷn na 90 diwrnod yn cael eu hanalluogi gan y cwmni.
Ffynhonnell: https://cointelegraph.com/news/3commas-denies-staff-members-stole-api-keys