쓰리콤마스 CEO, API 키 유출 인정…거래소에 키 해지 요청

자오창펑 바이낸스 최고경영자(CEO)는 암호화폐 거래 관리 플랫폼인 쓰리콤마스(3Commas)의 API 키 유출이 광범위하게 발생하고 있다고 확신하며 이같이 밝혔다.

12월 29일 자오는 트위터 사용자들에게 쓰리콤마스 플랫폼에서 입력하는 모든 교환 API 키를 비활성화하라고 조언했다. 또한 그는 바이낸스가 사이트 전체에서 유출된 API키를 비활성화하려고 노력하고 있지만 해당 작업이 ‘까다로울 수 있다’고 사용자들에게 답했다.

I am reasonably sure there are wide spread API key leaks from 3Commas. If you have ever put an API key in 3Commas (from any exchange), please disable it immediately.

Stay #SAFU.

— CZ 🔶 Binance (@cz_binance) December 28, 2022

자오의 성명은 지난 9일 바이낸스에서 자금이 빠져나갔다고 이의를 제기한 일부 사용자의 계정을 폐쇄한 사건에 이은 것이다.

앞서 한 사용자는 쓰리콤마스 플랫폼이 API 키를 노출했다고 주장했다. 로우캡(low cap) 암호화폐 거래로 가격과 수익을 얻은 데 사용된 것으로 보인다.

이에 대해 바이낸스는 사용자들에게 상환을 거부했다. CZ는 사용자가 API 키를 훔치지 않았다는 것을 단정할 수 없다고 주장했다. 그는 “거래는 당신이 만든 API 키를 사용하여 이루어졌다. 그게 아니라면 우리는 API 키를 잃어버린 사용자들에게 보상을 할 것이다. 이해해주길 바란다”고 말했다.

보안 문제 거부

12월 11일 유리 소로킨(Yuriy Sorokin) 쓰리콤마스 CEO 은 허술한 보안을 묘사한 허위 스크린샷이 트위터와 유튜브에서 유포되고 있다고 말했다. 게다가 그는 쓰리콤마스 직원들이 API 키를 훔쳤다는 주장에 반박했다.

그는 “스크린샷을 만든 사람은 HTML 편집기를 꽤 잘 이용했지만, 자신들의 주장이 가짜라는 것을 쉽게 증명할만한 몇 가지 핵심적인 실수를 했다. 우리는 그것들을 하나하나 검토할 것”이라고 밝혔다.

10월 말 쓰리콤마스는 처음으로 보안 문제를 겪기 시작했다. 당시 FTX에서 무단 거래 의혹을 사용자들이 제기하자, 거래소는 보안 경보도 발령했다.

FTX와 쓰리콤마스는 해커들이 거래를 하기 위해 쓰리코마스 계정을 만드는 잠재적인 피싱 시도라고 규정했다. 쓰리콤마스에 따르면 API 키는 독점 플랫폼에서 가져온 것이 아니라 복제된 웹 사이트에서 가져온 것이다.

소로킨은 피싱이 적어도 API 도용에 기여한 요소라는 증거가 있음을 인정했다.

그러나 트위터의 암호화폐 커뮤니티는 보안 침해로 인해 쓰리콤마스 API 키가 손상되었다고 주장했다.

쓰리콤마스가 마침내 데이터 유출을 인정하다

최근 유리 소로킨 최고경영자(CEO)는 트위터를 통해 회사에서 데이터 유출이 있었음을 처음으로 인정했다. 소로킨은 해커의 메시지를 보고 파일 정보가 정확한지 확인했다고 설명했다. 게다가 해당 임원은 쓰리콤마스가 이제 바이낸스, 쿠코인(Kucoin) 등 지원되는 거래소들의 모든 키의 즉각적인 취소 요구를 확인했다.

플랫폼 책임자도 내부 작업은 항상 가능하다는 데 동의했지만 조사에서 이에 대한 증거를 찾지 못했다.

1. Statement from 3Commas:

We saw the hacker’s message and can confirm that the data in the files is true. As an immediate action, we have asked that Binance, Kucoin, and other supported exchanges revoke all the keys that were connected to 3Commas.

— Yuriy Sorokin (@YS_3Commas) December 28, 2022

이제 그는 플랫폼이 법 집행과 관련된 전면적인 조사에 착수했다고 주장했다. 한편 쓰리콤마스는 트위터를 통해 11월 16일 이후에 만들어진 키는 전혀 위험하지 않다고 주장했다.

쓰리콤마스는 또한 “우리는 모든 사용자들이 거래소에서 본인들의 키를 재발급할 것을 촉구한다. 다시 말하지만, 우리는 11월 16일 이후에는 어떤 키도 위험하지 않다고 약속한다. 업데이트하지 않을 경우 계정 보안을 위해 거래소에 의해 해지 될 것”이라고 밝혔다.

1000만 달러 이상의 손실 예상

12월 23일, 일부 거래자들은 쓰리콤마스 플랫폼의 API 키가 손상되어 2200만 달러 이상의 암호화폐를 도난당했다고 주장했다.

쓰리콤마스는 트위터 암호화폐 커뮤니티가 사용자의 API 키 약 10만 개를 획득하여 공개한 후에야 사실을 시인했다.

PSA

3Commas API leak has been published, if you haven't already REMOVE YOUR API KEY pic.twitter.com/yEvrxyWBIq

— db (@tier10k) December 28, 2022

12월 20일, 블록체인 수사관 자크엑스비티(ZachXBT)는 44명의 피해자들이 도난당한 열쇠 때문에 약 1480만 달러의 손실을 입었다고 주장했다.

그는 최근 성명에서 “쓰리콤마스가 마침내 유출 사실을 인정했지만 이미 피해가 발생한 상태였다. 몇 주 동안 그들은 사용자들을 비난하고 아무런 책임도 지지 않았다”고 밝혔다.