in , , , ,

Dikkatli olun! Bilgisayar korsanları API anahtarlarını kötüye kullanıyor ve paranızı çalıyor

Dikkatli olun! Bilgisayar korsanları API anahtarlarını kötüye kullanıyor ve paranızı çalıyor 12


Siber suçlular her zaman kripto para piyasasında mevcut olan boşluklardan yararlanmanın bir yolunu bulurlar. Blockchain alanı daha fazla ilgi ve popülerlik kazandıkça, teknoloji inanılmaz bir hızla ilerliyor ve daha fazla karmaşıklığa ve hata olasılığına yol açıyor. Fişi çekerek likidite havuzlarında bulunan tüm parayı çalmak için arka kapı çıkışları açan kurucular gördük. hackerlar gördük sömürmek DeFi projeleri, Oracle Manipulation ve akıllı sözleşmelerin yeniden girişi gibi güvenlik açıklarının peşinden giderek. Ama radarın altından uçmuş gibi görünen tek şey… API anahtarları manipülasyonu.

Güvenilir borsalara olan talep şu anda o kadar yüksek ki, tüccarların sorunsuz bir tecrübe yaşamalarını sağlamak için düzinelerce şirketin kendi uygulamalarıyla geldiğini görüyoruz. Ancak üçüncü parti uygulamalar tarafından sağlanan bu hizmetleri kullandıklarında, API anahtarları aracılığıyla kişisel kayıtlarının kontrolünü devrederler. Bu, borsa veya alım satım uygulamasının, borsaya giriş yapmadan tüm işlemleri kullanıcı adına yürüttüğü anlamına gelir.

API anahtarlarını kullanan kripto para hackleri korkutucu çünkü saldırganın anlamlı bir etki yaratmak için para çekme haklarına sahip olması veya piyasaları manipüle etmesi gerekmiyor. Fon çalmak için birden fazla sömürü yöntemi kullanıyorlar ve görünüşe göre piyasayı yapay olarak manipüle ediyorlar. Bu makale, API anahtarlarından yararlanmayı derinlemesine inceleyecek ve bilgisayar korsanlarının ayrım edilmeden milyonları çalmaya nasıl başladıklarını açıklayacaktır.

Exchange API’leri nedir?

API anahtarları, genel olarak, bir kullanıcının kimliğinin otomatik veya programlanabilir bir şekilde doğrulanması için kullanılır. Değişim API’lerinde, kullanıcılar programlı olarak hesaplarına erişecek ve gerekli eylemleri veya stratejileri uygulayacaktır. API’ler, tüccar adına imzalamak için bir gizli anahtar veya özel anahtar kullandıkları için herhangi bir isteği işleyebilir.

API’leri entegre etmek ve üçüncü taraf yazılım çözümlerini kullanmak, ayrımlı borsalarla ilişkili hesaplarına erişmeye çalışan tüccarlar için yararlıdır. Değişim API’lerini kullanmanın ortak özelliklerinden bazıları, sipariş verme, hesap verileri toplama ve piyasa verilerine erişimdir.

Tüccarlara hangi API izinleri verilir?

Borsalar, tüccarlardan hem genel hem de özel anahtarlara erişebilmeleri için belirli ayarları etkinleştirmelerini ister. Çoğu durumda, borsalar izinleri üç gruba ayırır:

Veri- API’lerin kullanıcı hesaplarının verilerini okumasına izin verilir ve açık siparişlerine, bakiyelerine ve ticaret geçmişine erişim sağlanır. (Not- Herhangi bir değişiklik yapamaz)

Ticaret- Bu izin, esas olarak tüccarların otomatik olarak açık emirler vermeleri ve emirleri kapatmaları içindir. Programlama terimlerinde bunlara yazma işlemleri denir. Bu işlemler hesap verilerini değiştirecektir.

Para çekme- Bu izin, muhtemelen API anahtarlarıyla ilişkili en önemli izindir. API’lerin hesabın gerçek sahibinden yetkilendirme gerektirmeden para çekmesine ve başka bir cüzdana para göndermesine izin verir.

Para çekme iznini asla etkinleştirmeyin – bir ticaret uygulaması isterse, hemen kullanmayı bırakın ve daha güvenilir hizmetler düşünün.

İnsanlar neden API anahtarlarını kaybetmeye devam ediyor?

Kullanıcılar, değişim hesaplarından API anahtarları oluşturduğunda, gerekli ayrıntıları veren ve izinleri etkinleştiren bir süreçten geçmeleri gerekecektir. Bu süreçte, borsa genel ve özel API anahtarlarını gösterecektir. Şimdi, genel anahtar borsada görüntüleniyor, ancak özel anahtar olması durumunda yalnızca bir kez gösterilecek. Bu nedenle, bir kullanıcı özel anahtarını güvenli, özel bir konumda saklayamazsa, API anahtarının kontrolünü resmi olarak kaybetmiş olur.

Anahtarlar, bir sistem çöktüğünde de kaybolabilir ve bu da kullanıcıya kurtarma seçeneği bırakmaz. Özel anahtarların dijital olarak açığa çıkması, özel anahtarların kontrolünü kaybetmekle aynı şeydir. Açık anahtar altyapısı, güvenliği artırmak, kimlik doğrulama yöntemlerini uygulamak ve dijital imzaları uygulamak için tasarlanmıştır. Ancak kullanıcılar özel anahtarlarını yanlışlıkla dijital bir platformda açığa çıkarırlarsa, API anahtarı üzerinde sıfır kontrolle kendilerini etkin bir şekilde savunmasız bir konuma sokarlar.

Siber suçlular çalınan bu API anahtarlarına nasıl erişiyor?

Bilgisayar korsanlarının, çalınan API anahtarlarına erişmek için bazı tehlikeli kötü amaçlı yazılım veya casus yazılımları dağıtacağını düşünmelisiniz, ancak bu tür istismarlarda durum hiç de böyle değil. Siber suçlular çevrimiçi platformu kendi avantajları için kullanır ve API anahtarlarının çoğu dijital olarak açığa çıktığı için bu bir sürpriz olmamalıdır.

Github gibi halka açık depolar, az ya da çok binlerce hesabın sızdırılmış bilgilerini içerme olasılıkları olduğundan, bilgisayar korsanları için bir altın madenidir. Kimlik doğrulama belirteçlerini içeren bir başka benzer platform, çerçeve ayarlarını depolamak için ENV dosyalarını kullanan ve çoğu durumda API anahtarlarını içeren bir web uygulamasıdır.

“Bu nedenle API anahtarları Gitlab veya Github gibi web sitelerinde asla görünmemelidir; Bunun yerine, uygulamadan doğrudan çıkarmayı düşünmeleri ve gitignore’a eklemek için yeni bir dosya oluşturmaları gerekiyor,” dedi.

Bazı bilgisayar korsanlarının çalınan anahtarlara erişmesinin bir başka yolu, saklanan adreslerinin değerini tahmin etmektir. Bir ‘blockchain haydutu’, tahmin edilmesi basit olan zayıf özel anahtarları bulabildi ve bulabildiği kaydedildi. 732 tahmin edilebilir anahtar. Bu bir daha asla olmayabilir, ancak bunu bilmek yararlı olacaktır.

Bu API anahtarlarından nasıl yararlanırlar – iki yöntem

tarafından yürütülen bir araştırmaya göre siber haberler, halka açık depolarda görüntülenen hesapların 5000-155 bin dolar değerinde madeni paraya sahip olduğunu öğrendik. Soruşturma ayrıca hesapların %90’ının ticaret haklarının etkin olduğunu ortaya çıkardı. Bu bizi asıl sorumuza getiriyor: bilgisayar korsanları kurbanların ticaret hesaplarını boşaltmak için ticaret haklarını nasıl kullanıyor?

Siber suçlular esas olarak iki taciz tekniği uygular- Duvar Satın Almaları ve Fiyat Arttırma Sat. Bu yöntemler, madeni paraların, siparişlerin ve tüm ticaret düzeninin fiyatını yapay olarak değiştirir.

Satış Duvarları Almak

Kripto pazarında bir satış duvarı inşa etmek, güvenliği ihlal edilmiş tüccar hesapları için büyük kayıplara yol açar, ancak aynı nefeste, piyasa manipülatörlerinin önemli ölçüde daha düşük bir fiyata birikim yapmasına izin verir.

Satış duvarları satın almanın zor yanı, her şeyin bir saniyeden kısa bir sürede gerçekleşmesidir. Kurbanın hesabından büyük satış emirleri verilecek ve aynı zamanda bilgisayar korsanları tüm paraları düşük bir fiyata kapmak için bir satın alma emri verecek. Her satış emri, kurban için önceki satıştan daha büyük bir kayba neden olacağından, bu durum daha da kötüleşir.

Yeni Kripto Para Birimi Satın Al Nasıl Görüntülenir Satış Duvarları Satın Al Kripto

Fiyat Arttırma

Çalınan API anahtarlarından yararlanmak için kullanılan ikinci yöntem fiyat artırmadır. Bu ayrıca herhangi bir türde para çekmeyi içermez ve yalnızca ticaret izinlerini kullanır. Çalışma şekli basittir – bilgisayar korsanları değeri olmayan bir bok parası dağıtır ve büyük satın alma emirleri başlatarak fiyatını şişirir.

Değersiz projeleri seçiyorlar çünkü bu tür madeni paraların düşük işlem hacmi göz önüne alındığında manipüle edilmesi basit. Satın alma emri başlatıldığında, saldırgan aracı hesabını kullanarak aynı parayı kurbana yükseltilmiş bir fiyatla satmak için kullanır. Sonunda kurban, asla makul bir fiyata satamayacağı bir sürü değersiz madeni paraya sahip olacak.

API anahtarlarınızdan ödün vermeden paranızı nasıl korursunuz?

Daha önce de belirtildiği gibi, API anahtarlarınız dijital olarak ifşa edildiğinde, artık ticaret hesabınız üzerinde tam kontrole sahip olmayacaksınız. Bu nedenle, API anahtarlarınızın kötüye kullanılmasını önlemek için dikkatli olmanız ve birkaç basit adımı izlemeniz gerekir.

İzlenecek en iyi uygulamalardan bazıları şunlardır:

Şifrelenmemiş sırları asla .git depolarında saklamayın

Pek çok kişi, özel depoların API anahtarları gibi sırları saklayacak kadar güvenli olduğunu varsayar, ancak gerçekte, siber suçlular için yüksek kıymetli hedeflerden bazılarıdır. Uzman bir geliştiricinin bir projenin tüm geçmişine erişmesi daha basitdır, bu nedenle mevcut sırlar herkese açık olacaktır.

API anahtarlarını göndermek için asla mesajlaşma sistemlerini kullanmayın.

Dijital istismar ve veri çıkarma herhangi bir biçimde gerçekleşebilir, bu nedenle Slack gibi mesajlaşma platformlarından uzak durun ve bunun yerine hizmet türü bir çözüm olarak sırları kullanın.

API’lerin hesabınızın tüm kontrolünü ele geçirmesine izin vermeyin

API’ler için erişim kontrolünün en aza indirilmesi ve yalnızca gerektiğinde izin verilmesi önerilir. Mümkünse, bilgisayar korsanlarının ticaret botu kontrol panelinizin kontrolünü ele geçirmesini engellediği için IP adreslerini beyaz listeye almayı denemelisiniz.

Bu uygulamalar, herhangi bir API anahtarının kötüye kullanılmasını önlemenize yardımcı olabilir, ancak kurtarma için hiçbir şey yapamazlar. Özel anahtarları kurtarmak ve sahipliği yeniden kazanmak için ayrımlı kurtarma mekanizmalarını denemeli ve hangisinin en yüksek doğruluğa sahip olduğunu görmeliyiz. Bazı çalışmalar, bir blok zinciri kullanarak blok zincirindeki varlık sahipliğini geri almanın mümkün olduğunu göstermiştir. simetrik anahtar sahibinin parmak izinden ve biyometrik tarafından desteklenen bir gizli paylaşım şeması kullanan dağıtılmış bir özel anahtar kurtarma sisteminden oluşturulur. Bu yöntemler istenen sonuçları vermemiş olabilir, ancak gelecekte API anahtarlarını izlemek ve ticaret hesaplarımızı güvenceye almak için daha iyi çözümler görebiliriz.

Son düşünceler

Kripto dünyasında her zaman beklenmeyeni beklemeli ve gerçekleşmesi muhtemel tüm senaryoların ayrımında olmalıyız. API anahtarı manipülasyonu şu anda gerçek bir tehdit ve güvenilir bir üçüncü taraf hizmetiyle çalışıp çalışmadığımızı doğrulamamız gerekiyor. Ayrıca, bu bilgisayar korsanlarının API anahtarlarından nasıl yararlanabileceğini asla bilemediğimiz için, yukarıdaki bölümlerde bahsedilen en iyi uygulamalardan bazılarını uyguladığımızdan emin olmalıyız. Günün sonunda, eylemlerinizden siz sorumlusunuz, bu nedenle API anahtarlarını kullanarak ticaret yaparken dikkatli ve düşünceli olun.



Source link

Yorumlar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Loading…

0

Bu içerik hakkında sen ne düşünüyorsun?

102 Points
Upvote Downvote
Save a Dog bağışı kampanyası nedir? 34

Save a Dog bağışı kampanyası nedir?

Savaşçı final mi yapacak 2021? Savaşçı ne zaman final yapıyor? Savaşçı final tarihi... 35

Savaşçı final mi yapacak 2021? Savaşçı ne zaman final yapıyor? Savaşçı final tarihi…