Die Krypto-Handelsfirma 3Commas hat dementiert, dass ihre Mitarbeiter die API-Schlüssel der Nutzer gestohlen haben. Sie behauptet, die Screenshots, die auf den sozialen Netzwerken kursieren, gefälscht seien, und fordert die betroffenen Nutzer auf, Anzeige bei der Polizei zu erstatten, um die Täter daran zu hindern, ihr Geld zu stehlen.

In einem Blogpost vom 11. Dezember erklärte Yuri Sorokin, Mitbegründer und CEO von 3Commas, dass gefälschte Screenshots von Cloudflare-Protokollen auf Twitter und YouTube kursieren würden, "um die Leute davon zu überzeugen, dass es eine Schwachstelle bei 3Commas gibt und dass wir unverantwortlich genug waren, einen offenen Zugang zu Benutzerdaten und Protokolldateien zu gewähren". Die angeblichen Screenshots sollen zeigen, wie die API-Schlüssel der Kunden im Dashboard von 3Commas auf Cloudflare offen gezeigt wurden.

In einem weiteren Blog-Beitrag am 10. Dezember forderte Sorokin die betroffenen Nutzer auf, bei der Polizei Anzeige zu erstatten, damit ihre Konten eingefroren werden. "Je schneller das geschieht, desto schneller können die Börsen die Konten der Täter einfrieren, um die Abhebung von Geldern zu verhindern und die Chancen zu erhöhen, dass einige oder alle Gelder an die Opfer zurückgegeben werden können."

Da die meisten Kryptobörsen den Identitätsprüfungsmaßnahmen implementiert haben, müssen die Nutzer ihre Identität nachweisen, um zu handeln oder Geld abzuheben. Wenn die betroffenen Nutzer Anzeige bei der Polizei erstatten, können die Börsen diese Informationen an die Ermittler weitergeben, so das Unternehmen.

Wie Cointelegraph berichtete, wurde das Binance-Konto von einem Krypto-Händler, der sich auf Twitter CoinMamba nennt, geschlossen, nachdem er sich über gestohlenes Geld beschwert hatte. Der durchgesickerte API-Schlüssel war an ein 3Commas-Konto gebunden. Sowohl Binance als auch 3Commas streiten jegliche Verantwortung für den Vorfall ab.

3Commas behauptet, es gebe Beweise für Phishing-Angriffe, die bei den Diebstählen "teilweise eine Rolle" gespielt haben sollen. Nach Angaben des Unternehmens begannen die Phishing-Angriffe im Oktober, wobei die Angreifer verschiedene Techniken ausprobierten. Sorokin erklärte dazu:

"Außerdem haben wir stichhaltige Beweise dafür, dass Phishing zumindest teilweise eine Rolle gespielt hat. Wir haben hier einen Blog-Artikel veröffentlicht, der zeigt, dass viele gefälschte 3Commas-Webseiten erstellt wurden und einige davon immer noch im Internet zu finden sind, obwohl wir uns sehr bemüht haben, sie vom Netz zu nehmen."

Börsen-API-Verbindungen, die älter als 90 Tage sind, werden von dem Unternehmen deaktiviert.