Binance, kripto trade platformu 3Commas’ın ticaret botlarının gaye alındığı bir hack akınıyla gündeme geldi. Bu açık daha evvel biliniyordu ve CEO CZ’de bahsetmişti. Şu anda 450,000 dolar kıymetinde altcoin ziyanı var.
Binance, 3Commas API güvenlik açığına karşı hala savunmasız: Bu altcoin çalındı
Kullanıcılarına çeşitli borsalarla entegrasyon sağlanan ticaret botu 3Commas, üçüncü taraf uygulamalarının API anahtarlarını sızdırmasından sonra daha fazla para kaybına neden oluyor. Worldpokerdeals portalının kurucusu Rodion Longa’nın açıklamalara nazaran, bir dizi Binance kullanıcısı, 3Commas ticaret botu API araçlarının düzgün bilinen bir güvenlik açığı nedeniyle paralarını kaydetti. Tezlere nazaran şu anda 450,000 dolar kıymetinde BUSD kayıp.
@cz_binance @BinanceRussian My account was just exploited using 3commas API leak similar to this case https://t.co/89TvsiV3H9
Please help. 450k busd lost
— Rodion Longa (@LongaRodion) December 9, 2022
Binance CEO’su uyarmıştı
Vadi Finans olarak aktardığımız üzere CZ, Kasım ayında kullanıcıları kullanılmayan API anahtarlarını silmeleri konusunda ikaz etmişti. Ayrıyeten Skyrex ve 3Commas kullanırken dikkatli olmalarını istedi. Tıpkı periyotta 3Commas, öbür borsaların kullanıcılarını etkileyen kimlik avı akınlarıyla da uğraş ettiklerini belirtti. Bilhassa, artık iflas etmiş olan FTX borsasının kullanıcıları, kimlik avı hücumları nedeniyle 6 milyon dolardan fazla kaybetti. Fakat borsa bunları telafi etti.
Binance, bunun kimlik avı akınları olmadığını ve 3Commas tarafından API anahtarı sızıntısı olduğunu tez ediyor. Fakat 3Commas’ın kurucusu Yuriy Sorokin, bunların Binance dahil herkesi vurabilecek kimlik avı hücumları olduğunu öne sürmüştü.
We seen at least 3 cases of users who shared their API key with 3rd party platforms (Skyrex and 3commas), and seen unexpected trading on their accounts. If you used such a platform before, I highly recommend you to delete your API keys just to be safe. 🙏
— CZ 🔶 Binance (@cz_binance) November 14, 2022
Yeni gelişmelerde, son 11 aydır 3Commas ticaret botu API’sini kullanmadığını söyleyen “Longa”, bunun bir bir kimlik avı saldırısı olmayacağının altını çizdi. Bunun üzere misal şikayetler ortaya çıkmaya devam ediyor. Twitter’dan @coinmamba, API’sini sadece 3Commas hizmetlerine bağladığını ve bunu da unuttuğunu belirtti. Coinmamba daha sonra mevzuyu çabucak Binance (BNB) takımına bildirdi. Borsadan parasını telafi etmesini istedi.
API anahtarlarını silmediği için kullanıcı CoinMamba’nın kendisi suçlansa da, şirketlerin reaksiyonu de etkileyici değildi. Binance, o vakitten beri CoinMamba’nın hesabını, kullanıcının Binance’in müşteri hizmetlerine yönelik tehdidini münasebet göstererek sırf para çekme moduyla sınırladı.
Yeap, @cz_binance just closed my Binance account because of my tweets. Not sure what to say. This is unacceptable and I’m sure most of you will agree with me on this..
— CoinMamba (@coinmamba) December 9, 2022
Binance (BNB) etkilenen kullanıcıların operasyonlarını kısıtlıyor
CoinMamba’nın üstteki siteminden son CZ, kullanıcıya Twitter’dan cevap verdi. Davasının Binance’in SAFU tazminat programı için uygun olamayacağını söyledi. Bunun daha sonra suistimal edilebileceğini belirtti:
Mamba, kullanıcıların kendi API anahtarlarını çalmadıklarından emin olmamızın neredeyse hiçbir yolu yok. Alım satımlar, oluşturduğunuz API anahtarları kullanılarak yapıldı. Aksi takdirde, sırf kullanıcıların API anahtarlarını kaybetmeleri için ödeme yapıyor olacağız. Umarım anlarsın.
Mamba, there is almost no way for us to be sure users didn’t steal their own API keys. The trades were done using API keys you created. Otherwise we will just be paying for users to lose their API keys. Hope you understand.
— CZ 🔶 Binance (@cz_binance) December 9, 2022
CZ ayrıyeten, API anahtarının sızmasını durdurmazsa 3Commas’ın erişimini engellemeyi dahili olarak kabul ettiklerini belirtti. Binance’in 3Commas’ın erişimini engelleme önerisi daha fazla kaybı önleyebilir. Fakat kullanıcıların API anahtarları konusunda daha dikkatli olması gerekiyor. Alım satımlarınızla etkileşime girmesine müsaade verdiğiniz üçüncü taraf uygulamaları konusunda ekstra dikkatli olun.
