Web2 dünyasındaki sızıntılar son birkaç yıla kadar kullanıcılara bildirilmiyor ve üstü örtülüyordu. Yeni kurallar bunu değiştirdi. Kişisel verilerin korunması gibi kanunlar dünya genelinde yaygınlaştığı için saldırıya uğrayan şirketler müşterilerine bilgi vermek zorunda kalıyor. Durum Web3 dünyasında da çok farklı değil. Sonuçta insanlar, sunucular ve zafiyetler büyük ölçüde aynı kaldı.
OpenSea Sızıntısı
2021 yılındaki ihtişamlı günlerine kıyasla OpenSea önemli ölçüde zayıfladı. Umalım ki bu zayıflık platformun güvenliğini de tehlikeye atmış olmasın. Bu endişeyi besleyen önemli bir uyarı geldi. NFT pazarı OpenSea, bazı kullanıcılara gönderdiği bir e-postada üçüncü taraf kaynaklı API sızıntısı olabileceğinden bahsetti.
Kullanıcıların API anahtarlarının sızdırılmış olabileceğinden şüphelenen yetkililer hızlı biçimde bunların değiştirilmesini talep etti. Şirket, sızıntı olayının OpenSea API anahtarı kullanan herhangi bir programı etkilemesinin beklenmediğini ancak 2 Ekim tarihinden itibaren bunların güncelleneceğini yazdı.
Platformun gönderdiği mailde bu sızıntıdan kaç kişinin etkilendiğine değinilmedi. Son gelen mail kripto analiz firması Nansen’in dün üçüncü taraf iş ortaklarından hacklendiğini duyurmasının ardından geldi. Nansen duyurusunda tüm kullanıcıların %6,8’inin olaydan etkilendiği söyleniyordu. İkisinin de aynı iş ortağından zarar görmüş olma ihtimali var.
API Sızıntılarına Dikkat
API bir kod iletişim yapısıdır. Bizim bilmemiz gereken manada ise şifreyle giriş yaptığımız platformlarla kod aracılığıyla şifresiz işlem gerçekleştirebilme yeteneğini sağlayan anahtardır. Her platformun kendi API yapıları olur ve hatta geliştiriciler örneğin Facebook için kendi API sistemlerini geliştirebilir.
Bir borsanın API anahtarından bahsedelim. Bu anahtar sizin yazılım aracılığıyla siz mail ve şifrenizle sisteme erişmişsiniz gibi işlem yapmanıza olanak tanır. Örneğin trade botları için API kullanmanız gerekir çünkü alım ve satım gibi işlemler API aracılığıyla yapılır ve anahtarınız olmadan bot bunu sizin adınıza yapamaz.
O halde kullanıcıların bu anahtarları tıpkı şifreleri gibi görmeleri ve koruması gerekir. Örneğin bir trade bot için API oluşturduysanız işiniz bittiğinde bunu devre dışı bırakmanız gerekir. Bununla birlikte API yetkilerini de doğru biçimde ayarlamalısınız. Tam yetkiye sahip anahtarların üçüncü taraflarla uygulamalar aracılığıyla paylaşılması önemli riskler içerir. Nitekim transfer yetkisi tanımlanmış veya daha kısıtlı anahtarların trade botlarının hacklenmesiyle ele geçirildiğini ve insanların milyonlarca dolar kaybettiğini birçok kez gördük.
