3Commas金钥大规模外泄，CZ提醒用户立即禁用

交易机器人平台3Commas今天遭黑，黑客透过入侵3Commas 伺服器，取得总共10 万组API 登入服务的金钥。随后 3Commas 执行长证实此事，并紧急要求币安、Kucoin 等一众交易所停止授权。币安创始人CZ也发推提醒，应当立即禁用。

3Commas 10 万组API 金钥外泄

12 月29 日，加密货币机器人交易服务3Commas 遭黑，黑客透过入侵其伺服器，取得总共10 万组API 登入服务的金钥，受害范围远远超过3Commas 本身，因为包括币安、KuCoin 和其他支援机器人交易服务的交易所，都可能会被盗领资产。

在今（29）日清晨接近五点左右，3Commas 执行长Yuriy Sorokin 发推证实了大规模泄密的真实性，并表示，「我们已立即采取行动，要求币安、Kucoin 和其他支持的交易所，撤销所有与3Commas 相关的API 金钥。」

但对于私论泄露的原因，3Commas 官方先前不断表示，是由于用户进入钓鱼网站，才导致问题发生。

其执行长也补充表示，尽管内部问题是可能的，但并未在调查中找到证据。间接地表示他认为外泄是由于外部攻击导致。

其实早在今年10 月开始，一些3commas 用户就传出在币安、 Coinbase、 FTX 、 OKX 上的帐户传出对敲盗币的灾情，当时FTX 创办人SBF 还曾宣布提供600 万美元的一次性补偿。

当时数十名3Commas 用户指控，是因为该平台外泄了他们的API 金钥凭证，才导致黑客发动攻击窃走资金；但3Commas 执行长当时称这些指控是「虚假谣言」，直言用户是遭钓鱼才丢失资金、并特别在上月中旬发布声明强调数据库没有外泄。

此外，12 月21 日，链上侦探ZachXBT 就杠上交易API 平台3Commas，ZachXBT 表示过去几周已经有很多用户表示，他们的中心化交易所帐户出现未授权交易。

但3Commas 仍在责怪用户是因为钓鱼网站外泄API 所致。ZachXBT 表示已经汇集44 名受害者总计1480 万美元损失。他表示，这些用户并没有被钓鱼，而是API 密钥被偷了。他呼吁应停止使用该平台。

在3Commas 承认后，ZachXBT 再次翻出先前官方否认遭盗的言论，并嘲3Commas 是白痴。

币安创办人CZ 也在稍早同步发推证实了外泄的事实，并要求用户立即禁用曾提供给 3Commas 的金钥：

我有理由相信交易机器人平台3Commas存在广泛的API密钥泄漏，如果你曾将API密钥放入3Commas（来自任何交易所），请立即禁用它。

3Commas 是基于量化交易概念设计的机器人交易服务，用户需要具备基本的程式概念，设定好参数后机器人就可以完成24 小时盯盘，并自动交易。从2017 年成立至今，3Commas 用户数已超过220,000 人，交易量超过1,000 万美元，且合作的知名交易所共有18 家。

要让机器人完成交易，就必须要让电脑代替用户登入，因此用户需要将帐号、密码存在伺服器内，让3Comaas 和交易所透过API 完成安全认证，就可以进行交易。讽刺的是，3Commas 在网站安全评测网站scamadviser 的评测分数为100 分满分，这是多数网站都不能达到的分数。