Yakın zamanda yaşanan bir hack olayı yine kripto para dünyasının gündemine bomba gibi düştü. Ayrıca olayın merkezinde yer alan Binance’in güvenlik önlemlerindeki zayıflık da gözler önüne serildi. Sosyal medyada CryptoNakamao adıyla tanınan Çinli bir trader, Aggr adlı bir Google Chrome eklentisi aracılığıyla bilgisayar korsanlarına 1 milyon dolar kaptırdığını bildirdi. Görünüşte traderlardan veri sağlamak amacıyla tasarlanmış olan bu eklenti, aslında kullanıcıların çerez bilgilerini çalmak için kullanılan kötü niyetli bir yazılımdı.
Hackerların Kripto Paraları Çalması
CryptoNakamao, Binance hesabında rastgele alım satım işlemleri gördüğünde olağandışı faaliyetleri fark etti. Binance uygulaması üzerinden Bitcoin fiyatlarını kontrol ettiğinde, fonlarının izni dışında alınıp satıldığını keşfetti. Binance’ten acil yardım talebinde bulunmasına rağmen, hackerlar herhangi bir müdahale yapılmadan önce tüm fonlarını çekmeyi başardı.
Hackerlar, Aggr eklentisi aracılığıyla çerez verilerini çalarak şifreler ve iki faktörlü kimlik doğrulama (2FA) gibi güvenlik önlemlerini atlattı. Aktif kullanıcı oturumlarına erişim sağlayarak, piyasayı manipüle etmek için bir dizi kaldıraçlı işlem gerçekleştirdiler. Özellikle yüksek likiditeye sahip token’ları alarak ve bunları düşük likiditeye sahip çiftler halinde satarak karı maksimize ettiler.
Binance Yeterli Önlem Almamakla Suçlandı
Fonların doğrudan çekilmesini engellemesi gereken 2FA’nın getirdiği kısıtlamalara rağmen, hackerlar korsanları oturum ele geçirme yöntemleriyle karlı işlemler gerçekleştirdiler. Büyük miktarlarda Tether (USDT) satın alıp, Bitcoin (BTC) ve USD Coin (USDC) paritelerinde limitli satış emirleri verdiler. Bu işlemler fiyatlarda anormal artışlar yarattı ve hackerlar kaldıraçlı pozisyonlar sayesinde bu artışlardan faydalandı.
Mağdur olan trader, Binance’i bu tür olayları önlemek için yeterli güvenlik önlemleri almamakla suçladı. Binance’in olağandışı alım satım modellerini görmezden geldiğini ve bildirimlerine zamanında yanıt vermediğini belirtti. Ayrıca, Binance’in kötü amaçlı eklenti ve ilgili riskler hakkında önceden bilgi sahibi olduğunu, ancak kullanıcıları uyarmadığını ya da önleyici tedbirler almadığını da iddia etti.
Hayal Kırıklığı Had Safhada
Trader, Binance’in Aggr eklentisinin oluşturduğu bariz riske karşı kayıtsız kalmasından duyduğu hayal kırıklığını dile getirdi.
Binance’in eklentiye yönelik iç soruşturmasının yetersiz olduğunu ve kullanıcılarını devam eden tehditlerden koruyamadığını belirtti. Ayrıca, dolandırıcılık faaliyetinin açık işaretlerine rağmen hacker’ın hesabını dondurmadığı için borsayı eleştirdi.
