Os serviços de API (sigla para Interface de Programação de Aplicação) são comumente oferecidos por corretoras de criptomoedas. Através disso, é possível utilizar softwares de terceiros para administrar negociações.
Entretanto, um novo golpe está utilizando essa “brecha dos sistemas” para causar prejuízo aos investidores. Segundo informações do jornalista Colin Wu, um único usuário perdeu o equivalente a R$ 8,3 milhões em criptomoedas como BTC, ETH, FTT e outras.
Seu saldo estava na corretora FTX, uma das maiores e mais conhecidas do mercado. No entanto, a mesma nega que o problema seja seu, afirmando que o vazamento partiu de outra empresa, chamada 3Commas.
“O feedback da FTX foi que a API KEY da 3Commas vazou e que situações semelhantes não eram casos isolados”, comentaram alguns usuários ao jornalista Wu Blockchain.
Em resposta pública, a 3Commas afirmou que o assunto está sendo “tratado com prioridade máxima”. Indo além, também comentou que possui as maiores práticas de segurança, com autenticação de dois fatores (2FA) e senha de uso único (OTP).
Segundo informações da própria empresa, a 3Commas é o maior software de trading de criptomoedas do mundo, com volume mensal de US$ 23 bilhões.
Entendendo o golpe que usou API para drenar criptomoedas de usuário da corretora FTX
Primeiro, é preciso notar que tais APIs possuem limitações. Ou seja, em geral, elas não podem ser utilizadas para sacar criptomoedas de uma corretora por um software externo.
Contudo, é possível usá-las para comprar e vender quaisquer criptomoedas disponíveis em tal corretora. Sendo assim, os golpistas usaram a API de uma das vítimas para negociar um token pequeno chamado DMM Governance (DMG).
Explicando melhor, os golpistas possuiam tal shitcoin e então trocaram a mesma pelos bitcoins e ethers da vítima. Além de apresentar um pico de volume, o preço da DMG também saltou 669% na última quarta-feira (19).
“Um novo método de roubar criptomoedas está surgindo: contra-trade. Em 19 de outubro, um usuário descobriu que sua conta da FTX, usando a API da 3Commas, negociou [o token] DMG mais de 5.000 vezes, roubando quase US$ 1,6 milhão [em criptos] como BTC, ETH, FTT, etc. de sua conta.”
A new method of stealing coins is emerging: contra trade. On October 19th, a user suddenly found that his FTX account using the 3commas API was trading DMG more than 5,000 times, stealing nearly $1.6 million such as BTC, ETH, FTT, etc. from his account. pic.twitter.com/cpxoCSdLiZ
— Wu Blockchain (@WuBlockchain) October 21, 2022
Por fim, API é uma ferramenta utilizada por profissionais. Portanto, não há porque ativá-las em sua conta, independente da corretora que você utilize. Afinal, como visto acima, embora APIs não possam ser usadas para saques, golpistas são tão criativos que vão encontrar um jeito de roubar seu dinheiro.
