Topic: Binance Apikey Hack (Read 465 times)

Binance gibi bir sistemin nasıl böyle bir açığı var anlam veremiyorum. Resmen piyasayı tek başına domine etmeye başlamak üzereyken her şeylerini kaybedecekler. Artık Binance'ye göre güven sıfır! Benim API açık değildi çok şükür ki zaten 2 gün önce çıkış yapmıştım. Zarar gören arkadaşlara geçmiş olsun.

Abartmadan yapsalarmış hackı demekki kolay para yürütürlermiş 96BTC nedir

Hangi coini almışlar hocam SYS mi? 96 BTC değeri görmüş, pump grubuyla açıklanamayacak kadar yükselmiş.

4 temmuz itibariyle yine aynı şekilde api key ele geçirilerek bir hack olayı gerçekleşmiş gibi duruyor, binance ın benzer durumlarda daha önce önlem aldığını bildiğimizden korsan acaba bunu bilmiyormuydu diyorum altkoinden btc ye geçince elindeki btcleri çekebildiğini hiç sanmıyorum , öncekiler bile ilk defasında çekememişlerdi şimdiki hiç alamaz , acaba trade işlemlerini herkesin geri alıyorlar mı? Yada apikey hack dışında bir durum mu söz konusu ama hiç sanmıyorum.

Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

Belirtmem gerekiyor ki, uslubun çok yanlış. Senin gibi kekolar yüzünden burada yazdığım yazılardan pişman olmuş durumdayım. Kimseye birşey satmadım ve kimseden birşey kazanmadım ama anladım ki bu forumun olayı, "sen bilmiyorsun" diye birbirine çamur atıp durmaktan ibaretmiş.

Bahsettiğim olayın büyük bir kısmı phishing ile sağlanmış, sadece Binance withdraw 2FA kısmı phishing değil. Ek olarak kullanıcı Binance.com kullanmıyor, desktop uygulaması kullanıyor, onun phishing i daha zor olacaktır.

Diğer yandan, aynı 2FA kodunu 2 defa üst üste girilmeyeceğini bilmiyorum, binance uzmanı değilim, fakat şu var ki, VIA coin olayında çok sayıda 2FA aynı anda aşılmış görünüyor.
Bunu da phishing ile yapmaları imkanlı değil diye düşünüyorum. Kişi sayısını kimse açıklamadı ama VIA nın yükselişine bakılırsa oldukça fazla olmalı.
Binance bu adamların başına 250k$ koyduğuna göre, sadece phishing olmayabilir.
Belki de dediğin gibi değildir yada aynı 2FA yı üst üste girmenin bir yolu vardır. Sadece kullanıcı seviyesinde değilde, daha alt seviyelerde belki bir imkan mevcuttur diyorum, özellikle bu case i incelemediğim için bilemiyorum ama bu konuda teknik ispat yapmak istersen burada herkes senin bilginden yaralanmak isteyecektir, zira kendinden emin konuşuyorsun.

@entegre78
Dur frene bas Şunları kendi hesabında test eder misin:
1 - Binance da yeni API Key oluştururken 2FA sorulmuyor mu?
2 - Peki mevcut API Key e ait Secret kodunu görüntülerken 2FA sorulmuyor mu?
Ben bundan bahsediyorum.

üç beş terimi harmanlayıp millete bişey biliyon gibi satmişsin
keylogger ile 2fa geçemez hacker. çünkü binance girilen 2fa şifresini ikinci kez kullanmayı dene bakayım karşına ne geliyor
2FA Bypass yöntemleri 2-3-4 de hacker da bu . yok dediğin şeyler güvenlik zafiyetine neden olabilen session puzzling uygulamaları var ama konunun bunla alakası yok arkadaşlarında dediği gibi phishing olayı.

Anladığım kadarıyla kimseden çalınan bişeyler yok. Botlar hacklenmiş veya içindeki kötü yanı ortaya çıkartmışlar. Hacker elinde tuttuğu coini botlar sayesinde pumplayıp yüksekten tekrar botlara satmış. Doğru mu?

api ye ip sınırlaması getirmek ne yazık ki sorunu çözmez çünkü korsanlar senin hesabına girip kendisi key oluşturuyor, yani sen sınırlı bir key oluştursan onu silip sana yeni key oluşturuyor onda da sınır olmuyor zaten hesabına key oluşturacak kadar girmişse durum vahim demektir.

API Keyleri de oluşturmak için 2FA gerekir, orjinal kullanıcı tarafından zaten oluşturulmuş olan API keyleri tekrar görmek için yine 2FA gerekir.
Zira API key oluşturmamış kişilerin de dahil edildiği biliniyor.
Arkadaşlar ben de pozitif bakmak istiyorum, mesela Binance ın buna hemen reaksiyon gösterip hackerların paralarını dondurması çok hoş ama buna da bir kanıt yok.
Ortada bir yazı dışında hiç bir kanıt yok, olan kullanıcılara oluyor, borsa bir açıklama yapıyor insanlar da inanıyor.
Yazıda anlatılanlar ile ilgili kanıt gösterdiler mi?
Yarın bir olay daha olursa yine pishing diyecekler. Pishing ile 2FA yı yada SMS i aşıyolar. Burada bir açık olduğu bariz belli gibi görünüyor, çünkü Google Authenticator ı başka telefona sonradan kuramazsınız.

Hocam burada gözünüzden kaçar birşey var, adım adım gidelim.
Borsa şifrenizi, mailinizi hacklediler, herşeyi biliyorlar. Sadece 2FA yı bilmiyorlar diyelim.
1 - Kullanıcı borsaya girerken, keylogger sayesinde hacker da 2FA yı geçip borsaya login olabilir.
Sonrasında isterse al sat işlemleri yapar ama withdraw yada API key işlemi yapamaz.
2 - Hacker withdraw yapmak istiyor ama kullanıcı bu menüye gitmeyecektir, hacker ın 2FA yı geçme şansı yok. Orada bir 2FA sorulacak ve hacker da bu yok.
3 - Hacker API key oluşturmak istiyor ama kullanıcının bu kısımla işi yok, yine API key oluşturmak için 2FA sorulacak ve hacker da bu yok.
4 - Hacker mevcut API key in secret şifresini öğrenmek istiyor, göster butonuna tıkladığında yine 2FA sorulacak ve hacker da bu yok.

Yani hacker ancak ve ancak kullanıcı ile birlikte login olabilir, sonrasında 2FA açıksa API key yada Withdraw işlemi gerçekleştiremez.

Bu da gösteriyor ki Binance ın sisteminde açık var ve binlerce kişinin 2FA sı aşılmış. Bunu hiç bir pishing mantığı ile yapamazlar, zira bir pishing sitesi 2FA Phrase i bilmiyor ki, kullanıcıya 2FA sordursun. Phrase i de Binance da görüntüleyen kısım yok. Bir defa 2FA aktif edilirken görüntüleniyor, sonrasında bu yok.

Benim arkadaşımın parasını daha yeni çaldılar, hacker Binance a login olmuş ve 2 defa withdraw yapmış, tam 2 tane. Bunu yapması için 2 defa 2FA yı geçmiş olmalı. Bu ise 2FA Phrase i ele geçirmekle ancak mümkün olabilir. O halde yine görüyoruz ki Binance ın kendi sisteminde açık olmalı.

Şu an gördüğüm ise, bunu ispatlamama rağmen Binance herşeyi reddediyor, kancık gibi kıvırıyor. Arkadaşımızın parasının çalınmasında onların da suçu var ve bunu kabul etmiyorlar. Artık cevap bile vermiyorlar.
Kısacası bu borsalara üye olurken çok hoş güzel ama başınıza birşey geldiğinde yalnız kalıyorsunuz. Şu an Binance ın yaptığı sadece tribünlere oynamaktan ibaret. Kendi görüp yaşadığım olayda aslında nasıl kıvırdıklarını anladım. Binance defalarca hacklenmiş bir site, çoğunu da kabul etmediler kıvırdılar.
Binance a kızıp güvenlik açığını internete versem onlarca kişinin parası heba olacak, ona da gönlüm el vermez. Bugün kontrol ettim açık hala duruyor, çözecekler diye umut etmiştim ama duruyor!