Ищите лазейку в вашем сайте. Предполагаю что именно через его уязвимость хакер получил доступ к api.
Но тогда как он вывел баксы кодами? Что с почтой? Аккаунт был на корпоратике сайта?
Как то получил кто-то доступ к серверу, понятное дело. Сам сайт вряд ли, скорее именно настройки сервера или доступы к нему, 0-day или иной способ проникновения.
Для вывода методом Coupon через API подтверждения не надо