Apesar do mercado em baixa, os day traders de criptomoedas ainda enxergam algumas oportunidades de enriquecimento. Muitos procuram vantagens usando robôs de negociação algorítmica que executam automaticamente negociações a qualquer momento.
No entanto, há riscos em permitir que o código tome decisões rápidas. Um grupo de investidores, que se organiza no Telegram, diz que foi vítima de hackers que comprometeram a API da plataforma de negociação automatizada 3Commas, que resultou em perdas de cerca de US$ 22 milhões.
Em uma série de tweets, o detetive da Internet @ZachXBT afirma que dezenas de usuários relataram que os ladrões desviaram fundos através de negociações não autorizadas em suas contas de exchanges centralizadas por causa da API da 3commas.
“A 3Commas alega atividade de ‘phishing’, mas agora descobri um grupo de 44 vítimas que teve um total de US$ 14,8 milhões roubados”, segundo o tweet de ZachXBT.
1/3 Over the past couple of weeks a number of @3commas_io users have reported unauthorized trades on their CEX accounts.
— ZachXBT (@zachxbt) December 20, 2022
3Commas blames it on “phishing” but I now have verified a group of 44 victims who’ve had $14.8m in total stolen. pic.twitter.com/49K28a5Pf8
Em um documento do Google Docs compartilhado no grupo do Telegram e revisado pelo Decrypt, os membros dizem que as exchanges onde as transações não autorizadas ocorreram incluem Binance, Coinbase Pro e KuCoin.
“Os usuários fizeram reclamações em diferentes exchanges”, escreveu ZachXBT. “Está claro que isso não é phishing e as chaves de API foram roubadas.”
1/3 Over the past couple of weeks a number of @3commas_io users have reported unauthorized trades on their CEX accounts.
— ZachXBT (@zachxbt) December 20, 2022
3Commas blames it on “phishing” but I now have verified a group of 44 victims who’ve had $14.8m in total stolen. pic.twitter.com/49K28a5Pf8
O que é uma API?
Uma API é um conjunto de regras que definem como dois programas de software — neste caso, a carteira ou o portfólio de um trader e uma exchange de criptomoedas — devem se comunicar. As APIs são usadas por vários motivos, fornecendo uma maneira para os desenvolvedores acessarem vários serviços e dados e permitindo que os usuários interajam com diferentes aplicativos por meio de uma única interface de usuário.
O que é negociação algorítmica?
A negociação algorítmica usa programas de computador, incluindo APIs, para executar negociações nos mercados financeiros. Esses programas, também conhecidos como robôs (ou bots) de investimento, são projetados para analisar as condições do mercado e executar negociações acionadas por parâmetros predefinidos.
Uma vantagem da negociação algorítmica é que ela permite que os traders executem negociações rapidamente, sem interação humana. Os robôs de investimento podem ser especialmente úteis em mercados globais em rápida evolução, como o de criptoativos, onde a negociação manual pode não ser possível ou pode ser mais demorada.
Embora os bots de negociação algorítmica possam ajudar os traders que procuram uma vantagem, a sua utilização também acarreta alguns riscos, tais como erros potenciais ou avarias no algoritmo ou acesso comprometido às suas configurações.
Um golpe anterior da 3Commas
Em outubro de 2022, o então CEO da FTX, Sam Bankman-Fried pagou US$ 6 milhões aos traders da FTX que foram vítimas de uma fraude multimilionária que atingiu os usuários da corretora através de APIs comprometidas da 3commas.
Bankman-Fried twittou que estava preparado para remunerar os usuários FTX afetados por esse ataque na qual os invasores usaram a API da 3Commas para fazer negociações na exchange, mas advertiu que a ação não deveria ser considerada como um precedente ou uma política da empresa.
13) But in this particular case, we will compensate the affected users.
— SBF (@SBF_FTX) October 23, 2022
THIS IS A ONE-TIME THING AND WE WILL NOT DO THIS GOING FORWARD.
THIS IS NOT A PRECEDENT.
We will not making a habit of compensating for uses getting phished by fake versions of other companies!
A 3Commas diz que o roubo de fundos de usuários foi devido a um ataque de phishing, não por conta de seu software, e chamou as alegações de vazamentos ou ataques da API — as anteriores e a mais recente — de falsas e disseminadas por maus atores.
There have been some false rumors shared by bad faith actors using falsified evidence to claim 3Commas leaked users’ API keys. These rumors were related to fake screenshots of Cloudflare logs that have been shared on Twitter and Youtube.
— 3Commas (@3commas_io) December 11, 2022
The full article: https://t.co/KVOF2BWlYn pic.twitter.com/qJ52CvnVg0
Em uma série de blogposts publicados no site da 3Commas, o cofundador, Yuriy Sorokin, abordou repetidamente as alegações contra a plataforma.
“No mais recente capítulo dessa novela das chaves de API e ataques a exchanges, agora estamos vendo indivíduos no Twitter e no YouTube circulando capturas de tela falsas de logs da Cloudflare em uma tentativa de convencer as pessoas de que havia uma vulnerabilidade na 3Commas e que éramos irresponsáveis o suficiente para permitir acesso aberto a dados de usuários e arquivos de log”, escreveu Sorokin, apontando para um tweet de 10 de dezembro de 2022 o qual ele diz que os funcionários da 3Commas estão roubando chaves da API.
Leia Também
There have been some false rumors shared by bad faith actors using falsified evidence to claim 3Commas leaked users’ API keys. These rumors were related to fake screenshots of Cloudflare logs that have been shared on Twitter and Youtube.
— 3Commas (@3commas_io) December 11, 2022
The full article: https://t.co/KVOF2BWlYn pic.twitter.com/qJ52CvnVg0
A investigação continua
Em uma resposta por e-mail para o Decrypt, a 3Commas afirmou que “não há vazamentos da API ou exposição de nosso banco de dados” e disse que está trabalhando com o Google para derrubar sites de phishing que tentam copiar sua plataforma, o que poderia induzir os clientes a enviar suas chaves de API.
A 3Commas também afirmou que está trabalhando com a Binance na “investigação da causa raiz” e disse que sua própria equipe está “encontrando uma solução permanente para corrigir o problema da API.” A empresa não respondeu a um pedido do Decrypt para explicar o problema da API que exigia correção.
Excluindo as ações dos insiders, como é que um intruso saberia a quem atacar—através de phishing ou de outra forma—e quando?
“Normalmente, minha resposta seria ‘depende'”, disse ao Decrypt, David Schwed, COO da empresa de segurança Web3 Halborn.
“Se um invasor fosse capaz de inspecionar o tráfego de rede, ele seria capaz de obter algumas informações sobre quem estava fazendo chamadas de API com base no URL ou no endereço IP de origem”, disse Schwed. “No entanto, neste caso, era muito mais simples de verificar os usuários dessa API”.
“Na seção de desenvolvimento do 3commas.io, eles têm um link de chat API para um grupo [Telegram] com cerca de 1.000 membros”, explicou. “Esses membros, eu diria, são todos usuários da API.”
Edmondo “Mundy” Pena, um profissional de cibersegurança e trader algorítmico, diz ao Decrypt que ele usava o software de negociação da 3Commas desde 2020, quando ouviu falar pela primeira vez sobre a plataforma. Na mesma época, Pena diz que lançou seu negócio, a Crypto Trading Desk.
Pena diz que usou a API da 3commas em vários portfólios por pouco menos de dois anos sem problemas. No entanto, ele notou problemas pela primeira vez com a sua conta de negociação durante o feriado de Ação de Graças em novembro de 2022.
“Eu tinha uma API para trade com acesso habilitado ao meu portfólio”, disse ele. “Meu maior medo se tornou realidade na manhã de Ação de Graças, quando comecei a ver milhares de alertas de trades acontecendo na minha carteira.” Pena disse que excluiu a API antes que os ladrões drenassem todos os seus fundos.
Ele diz que foi ao Google pesquisar o que havia acontecido e descobriu que não foi o único a passar pela experiência negativa. Ele está conversando com outras pessoas que contaram casos semelhantes.
Até agora, Pena diz que fez entrevistas individuais e presenciais com quase 60 usuários que relataram transações não autorizadas usando a API da 3Commas.
Ele diz que várias das pessoas com quem conversou já buscaram a polícia para tratar do assunto. Usando sua experiência em cibersegurança forense, Pena diz que foi capaz de fazer a engenharia reversa do ataque em sua conta. Ele então levou essa informação para contatos no Serviço Secreto dos EUA.
Em dezembro de 2022, um trader de criptos, com o codinome CoinMamba, disse no Twitter que sua conta na Binance estava comprometida devido a um vazamento da chave API da 3Commas, o que o levou a perder fundos.
Hey guys. Unfortunately two days ago my Binance account got exploited through an API which I’ve created 2 years ago and haven’t used since which I assumed I deleted but apparently didn’t. It was used to make trades on low cap coins to push up the price to make profit.
— CoinMamba (@coinmamba) December 8, 2022
O tweet gerou uma troca de mensagens intensa entre CoinMamba e o CEO da Binance, Changpeng “CZ” Zhao, cujo desfecho foi o encerramento da conta da CoinMamba na Binance.
“O único denominador comum aqui é a 3Commas”, disse Pena.
Embora Pena esteja confiante de que há um problema com o software da 3Commas, ele reconheceu que alguns dos problemas decorrem do esquecimento dos traders e do abandono das APIs anexadas às suas contas.
“A maioria das pessoas se esquece das APIs”, disse ele. “Configurar APIs não é algo que você faz frequentemente. A maioria das pessoas só teve uma API associada ao seu portfólio.”
Pena afirmou também que outros traders afetados estão analisando suas opções jurídicas e estão cooperando com a Polícia nas investigações.
*Traduzido por Gustavo Martins com autorização do Decrypt.
Participe da comunidade de criptomoedas que mais cresce no Brasil. Clique aqui e venha conversar no Discord com os principais especialistas do país.
