Une arnaque de plus dans la crypto sphère avec une situation peu habituelle. C’est dans le cadre d’un service externe à l’exchange FTX, via 3Commas, qu’un utilisateur s’est fait escroquer de plus d’un million de dollars. Les deux sociétés se renvoient la balle en ce qui concerne leur responsabilité.
Une arnaque a eu lieu ce 21 octobre sur l’exchange FTX, 3ème plateforme d’échanges crypto la plus fréquentée du monde. C’est via une API de la société 3Commas que l’arnaque a eu lieu.
Le hackeur a réussi à s’immiscer dans le protocole entre les deux plateformes et récupérer les API pour initier des milliers de transactions et récupérer les fonds.
3Commas est une plateforme qui permet aux utilisateurs de développer des robots de trading pour automatiser leurs trades. Ensuite, ils peuvent lier ces robots à des plateformes d’échanges via des API.
Ces robots leur permettent par exemple de faire du copytrading en copiant les positions de certains traders. Les robots de trading crypto et le copytrading sont très en vogue dans la sphère trading sur les réseaux sociaux.
En effet, c’est souvent présenté comme un moyen facile et sans risque de trader sur des marchés sans avoir de connaissances au préalable.
Dans cette histoire de vol d’API, un compte d’un utilisateur FTX a ainsi été ponctionné de plus 1 million de dollars. Le hacker a initié plus de 5000 transactions d’échange de jetons $DMG pour voler $1.6 millions en Bitcoin, Ethereum, etc.
Évidemment, puisque cette arnaque implique deux plateformes, on se demande qui est le responsable entre les deux. Qui a causé la fuite de ces API qui ont permis de soutirer le capital de l’utilisateur ?
Les versions ont changé entre le début de l’enquête et maintenant. Suite à l’annonce de ce hack, 3Commas a immédiatement réagi et cherché à comprendre ce qu’il s’était passé. Il semblait à ce moment-là que c’était du côté de FTX que l’API avait été dévoilée.
De son côté, 3Commas déclarait directement que son système de sécurité empêchait ce type de hack. Grâce au FA et au OTP au moment de la connexion, les comptes utilisateurs sont toujours sécurisés. De plus, ils ont assuré qu’aucun API n’avait fuité de leur côté.
Plus tard, c’est FTX qui a déclaré qu’aucune fuite n’était à déplorer de leur côté non plus. L’enquête se tourne donc vers une attaque qui aurait eu lieu en dehors des deux plateformes concernées.
Dans le milieu de la cryptomonnaie, le phishing est malheureusement très répandu et il semblerait que c’est ce qu’il s’est passé avec les clés API du compte hacké.
Des sites Internet reproduisent le design et les méthodes de 3Commas, ces fausses vitrines font parfois des victimes qui pensent se connecter à la plateforme originale en indiquant leurs données personnelles.
La plateforme bénéficie alors des accès nécessaires pour capturer les clés API et dérober des sommes considérables.
Il peut aussi s’agir d’attaques ciblées sur des profils d’investisseurs repérés en amont par les hackers. Ils identifient des gros portefeuilles grâce à des bases de données volées et les contactent ensuite sur des réseaux sociaux.
Le mois d’octobre est particulièrement touché par des attaques en tout genre qui mettent à mal la réputation des cryptomonnaies, des blockchains et de la finance décentralisée.
L’attaque de 3Commas et FTX intervient quelques semaines après :
Des hackers toujours plus déterminés à trouver les failles des systèmes, que ce soit en exploitant des défauts dans les algorithmes, les smarts contracts ou qui usent “simplement” de la vulnérabilité des gens.
Ce hack entre 3Commas et FTX nous rappelle aussi de se méfier des robots de trading et des solutions “trop faciles” pour réaliser des bénéfices grâce à du trading automatique.
Lisez notre article à propos de “notre avis sur le copy trading” pour comprendre les risques de ces pratiques.
Cet article est publié à titre indicatif et ne doit pas être considéré comme un conseil en investissement. Certains des partenaires présentés sur ce site peuvent ne pas être régulés dans votre pays. Il est de votre responsabilité de vérifier la conformité de ces services avec les régulations locales avant de les utiliser.
Attention aux risques : La négociation de crypto-monnaies et d’instruments financiers comporte des risques élevés, notamment la perte partielle ou totale de votre capital, et peut ne pas convenir à tous les investisseurs en raison de la forte volatilité des marchés et des facteurs économiques, politiques ou réglementaires pouvant influencer les prix. Avant d’investir, vous devez évaluer attentivement vos objectifs, votre niveau d’expérience et votre tolérance au risque, et consulter un conseiller financier indépendant si nécessaire. Les informations publiées sur InvestX.fr et sur l’application InvestX sont fournies à titre informatif et ne constituent pas des conseils en investissement. InvestX décline toute responsabilité concernant l’exactitude ou l’utilisation des informations diffusées, et rappelle que certains partenaires présentés sur le site peuvent ne pas être régulés dans votre juridiction, ce qu’il vous appartient de vérifier avant toute utilisation de leurs services.
