Binance, kripto trade platformu 3Commas’ın ticaret botlarının hedef alındığı bir hack saldırısıyla gündeme geldi. Bu açık daha önce biliniyordu ve CEO CZ’de bahsetmişti. Şu anda 450,000 dolar değerinde altcoin zararı var.
Binance, 3Commas API güvenlik açığına karşı hala savunmasız: Bu altcoin çalındı
Kullanıcılarına çeşitli borsalarla entegrasyon sağlanan ticaret botu 3Commas, üçüncü taraf uygulamalarının API anahtarlarını sızdırmasından sonra daha fazla para kaybına neden oluyor. Worldpokerdeals portalının kurucusu Rodion Longa’nın açıklamalara göre, bir dizi Binance kullanıcısı, 3Commas ticaret botu API araçlarının iyi bilinen bir güvenlik açığı nedeniyle paralarını kaydetti. İddialara göre şu anda 450,000 dolar değerinde BUSD kayıp.
@cz_binance @BinanceRussian My account was just exploited using 3commas API leak similar to this case https://t.co/89TvsiV3H9
Please help. 450k busd lost
— Rodion Longa (@LongaRodion) December 9, 2022
Binance CEO’su uyarmıştı
Kriptokoin.com olarak aktardığımız üzere CZ, Kasım ayında kullanıcıları kullanılmayan API anahtarlarını silmeleri konusunda ikaz etmişti. Ayrıca Skyrex ve 3Commas kullanırken dikkatli olmalarını istedi. Aynı dönemde 3Commas, diğer borsaların kullanıcılarını etkileyen kimlik avı saldırılarıyla da mücadele ettiklerini belirtti. Özellikle, artık iflas etmiş olan FTX borsasının kullanıcıları, kimlik avı saldırıları nedeniyle 6 milyon dolardan fazla kaybetti. Ancak borsa bunları telafi etti.
Binance, bunun kimlik avı saldırıları olmadığını ve 3Commas tarafından API anahtarı sızıntısı olduğunu iddia ediyor. Ancak 3Commas’ın kurucusu Yuriy Sorokin, bunların Binance dahil herkesi vurabilecek kimlik avı saldırıları olduğunu öne sürmüştü.
We seen at least 3 cases of users who shared their API key with 3rd party platforms (Skyrex and 3commas), and seen unexpected trading on their accounts. If you used such a platform before, I highly recommend you to delete your API keys just to be safe. 🙏
— CZ 🔶 Binance (@cz_binance) November 14, 2022
Yeni gelişmelerde, son 11 aydır 3Commas ticaret botu API’sini kullanmadığını söyleyen “Longa”, bunun bir bir kimlik avı saldırısı olmayacağının altını çizdi. Bunun gibi benzer şikayetler ortaya çıkmaya devam ediyor. Twitter’dan @coinmamba, API’sini yalnızca 3Commas hizmetlerine bağladığını ve bunu da unuttuğunu belirtti. Coinmamba daha sonra konuyu hemen Binance (BNB) ekibine bildirdi. Borsadan parasını telafi etmesini istedi.
API anahtarlarını silmediği için kullanıcı CoinMamba’nın kendisi suçlansa da, şirketlerin tepkisi de etkileyici değildi. Binance, o zamandan beri CoinMamba’nın hesabını, kullanıcının Binance’in müşteri hizmetlerine yönelik tehdidini gerekçe göstererek yalnızca para çekme moduyla sınırladı.
Yeap, @cz_binance just closed my Binance account because of my tweets. Not sure what to say. This is unacceptable and I’m sure most of you will agree with me on this..
— CoinMamba (@coinmamba) December 9, 2022
Binance (BNB) etkilenen kullanıcıların operasyonlarını kısıtlıyor
CoinMamba’nın yukarıdaki siteminden son CZ, kullanıcıya Twitter’dan yanıt verdi. Davasının Binance’in SAFU tazminat programı için uygun olamayacağını söyledi. Bunun daha sonra suistimal edilebileceğini belirtti:
Mamba, kullanıcıların kendi API anahtarlarını çalmadıklarından emin olmamızın neredeyse hiçbir yolu yok. Alım satımlar, oluşturduğunuz API anahtarları kullanılarak yapıldı. Aksi takdirde, yalnızca kullanıcıların API anahtarlarını kaybetmeleri için ödeme yapıyor olacağız. Umarım anlarsın.
Mamba, there is almost no way for us to be sure users didn’t steal their own API keys. The trades were done using API keys you created. Otherwise we will just be paying for users to lose their API keys. Hope you understand.
— CZ 🔶 Binance (@cz_binance) December 9, 2022
CZ ayrıca, API anahtarının sızmasını durdurmazsa 3Commas’ın erişimini engellemeyi dahili olarak kabul ettiklerini belirtti. Binance’in 3Commas’ın erişimini engelleme önerisi daha fazla kaybı önleyebilir. Ancak kullanıcıların API anahtarları konusunda daha dikkatli olması gerekiyor. Alım satımlarınızla etkileşime girmesine izin verdiğiniz üçüncü taraf uygulamaları konusunda ekstra dikkatli olun.