Binance, kripto trade platformu 3Commas’ın ticaret botlarının maksat alındığı bir hack atağıyla gündeme geldi. Bu açık daha evvel biliniyordu ve CEO CZ’de bahsetmişti. Şu anda 450,000 dolar pahasında altcoin ziyanı var.
Binance, 3Commas API güvenlik açığına karşı hala savunmasız: Bu altcoin çalındı
Kullanıcılarına çeşitli borsalarla entegrasyon sağlanan ticaret botu 3Commas, üçüncü taraf uygulamalarının API anahtarlarını sızdırmasından sonra daha fazla para kaybına neden oluyor. Worldpokerdeals portalının kurucusu Rodion Longa’nın açıklamalara nazaran, bir dizi Binance kullanıcısı, 3Commas ticaret botu API araçlarının düzgün bilinen bir güvenlik açığı nedeniyle paralarını kaydetti. Savlara nazaran şu anda 450,000 dolar bedelinde BUSD kayıp.
https://twitter.com/LongaRodion/status/1601068826023849984
Binance CEO’su uyarmıştı
Kriptokoin.com olarak aktardığımız üzere CZ, Kasım ayında kullanıcıları kullanılmayan API anahtarlarını silmeleri konusunda ikaz etmişti. Ayrıyeten Skyrex ve 3Commas kullanırken dikkatli olmalarını istedi. Birebir devirde 3Commas, öbür borsaların kullanıcılarını etkileyen kimlik avı taarruzlarıyla da uğraş ettiklerini belirtti. Bilhassa, artık iflas etmiş olan FTX borsasının kullanıcıları, kimlik avı hücumları nedeniyle 6 milyon dolardan fazla kaybetti. Lakin borsa bunları telafi etti.
Binance, bunun kimlik avı akınları olmadığını ve 3Commas tarafından API anahtarı sızıntısı olduğunu argüman ediyor. Lakin 3Commas’ın kurucusu Yuriy Sorokin, bunların Binance dahil herkesi vurabilecek kimlik avı akınları olduğunu öne sürmüştü.
We seen at least 3 cases of users who shared their API key with 3rd party platforms (Skyrex and 3commas), and seen unexpected trading on their accounts. If you used such a platform before, I highly recommend you to delete your API keys just to be safe. ?
— CZ ? Binance (@cz_binance) November 14, 2022
Yeni gelişmelerde, son 11 aydır 3Commas ticaret botu API’sini kullanmadığını söyleyen “Longa”, bunun bir bir kimlik avı saldırısı olmayacağının altını çizdi. Bunun üzere emsal şikayetler ortaya çıkmaya devam ediyor. Twitter’dan @coinmamba, API’sini sadece 3Commas hizmetlerine bağladığını ve bunu da unuttuğunu belirtti. Coinmamba daha sonra mevzuyu çabucak Binance (BNB) takımına bildirdi. Borsadan parasını telafi etmesini istedi.
API anahtarlarını silmediği için kullanıcı CoinMamba’nın kendisi suçlansa da, şirketlerin reaksiyonu de etkileyici değildi. Binance, o vakitten beri CoinMamba’nın hesabını, kullanıcının Binance’in müşteri hizmetlerine yönelik tehdidini münasebet göstererek sadece para çekme moduyla sınırladı.
Yeap, @cz_binance just closed my Binance account because of my tweets. Not sure what to say. This is unacceptable and I’m sure most of you will agree with me on this..
— CoinMamba (@coinmamba) December 9, 2022
Binance (BNB) etkilenen kullanıcıların operasyonlarını kısıtlıyor
CoinMamba’nın üstteki siteminden son CZ, kullanıcıya Twitter’dan karşılık verdi. Davasının Binance’in SAFU tazminat programı için uygun olamayacağını söyledi. Bunun daha sonra suistimal edilebileceğini belirtti:
Mamba, kullanıcıların kendi API anahtarlarını çalmadıklarından emin olmamızın neredeyse hiçbir yolu yok. Alım satımlar, oluşturduğunuz API anahtarları kullanılarak yapıldı. Aksi takdirde, sadece kullanıcıların API anahtarlarını kaybetmeleri için ödeme yapıyor olacağız. Umarım anlarsın.
Mamba, there is almost no way for us to be sure users didn’t steal their own API keys. The trades were done using API keys you created. Otherwise we will just be paying for users to lose their API keys. Hope you understand.
— CZ ? Binance (@cz_binance) December 9, 2022
CZ ayrıyeten, API anahtarının sızmasını durdurmazsa 3Commas’ın erişimini engellemeyi dahili olarak kabul ettiklerini belirtti. Binance’in 3Commas’ın erişimini engelleme önerisi daha fazla kaybı önleyebilir. Fakat kullanıcıların API anahtarları konusunda daha dikkatli olması gerekiyor. Alım satımlarınızla etkileşime girmesine müsaade verdiğiniz üçüncü taraf uygulamaları konusunda ekstra dikkatli olun.