幣圈資安新危機，機器人交易服務 3Commas 遭駭，10 萬組金鑰外流

加密貨幣機器人交易服務 3Commas 今天遭駭，不具名駭客已將一萬組用戶帳號密碼發至 Twitter，剩下 9 萬組會陸續公佈。任何加密貨幣交易所用戶，如果有使用 3Commas 提供的 API 都該立刻停用。

匿名駭客入侵 3Commas 伺服器，取得總共 10 萬組 API 登入服務金鑰，受害範圍遠遠超過 3Commas 本身，因包括幣安、KuCoin 和其他支援機器人交易服務的交易所，都可能被盜領資產。

「我們確認這項消息後，立刻聯絡幣安和 KuCoin 等平台，請他們移除相關 API 權限。」3Commas 執行長 Yuriy Sorokin 表示，目前駭客外流資料是正確用戶資訊，他們正在採取相關措施止血。

1. Statement from 3Commas:

We saw the hacker’s message and can confirm that the data in the files is true. As an immediate action, we have asked that Binance, Kucoin, and other supported exchanges revoke all the keys that were connected to 3Commas.

— Yuriy Sorokin (@YS_3Commas) December 28, 2022

幣安執行長趙長鵬也立刻推文，呼籲所有曾將 API 存取在 3Commas 的用戶，立刻停用，避免危機擴大。

3Commas 是基於量化交易概念設計的機器人交易服務，用戶需具備基本程式概念，設定好參數後機器人就可 24 小時盯盤並自動交易。從 2017 年成立至今，3Commas 用戶數超過 22 萬人，交易量超過 1,000 萬美元，且合作的知名交易所共 18 家。

要讓機器人自動完成交易，就必須讓電腦代替用戶登入，因此用戶需將帳號、密碼存在伺服器，讓 3Comaas 和交易所透過 API 完成安全認證，就可進行交易。諷刺的是，3Commas 在網站安全評測網站 scamadviser 的評測分數為 100 分滿分，是多數網站不能達到的分數。

此外，從 10 月開始，3Commas 用戶就反映遭遇未知資產損失，官方認為應是被釣魚網站所騙，因此未予補償。但如今證據顯示，問題來自平台本身，且不說接下來的損失金額，之前用戶回報的損失就高達 600 萬美元，最近兩週損失更是翻倍增加。

目前官方尚未提供進一步消息，只表示採取全面行動，並與司法機關配合調查，設法找出兇手。

• Anonymous Twitter User Leaks 3Commas API Database

（首圖來源：shutterstock）