Kullanıcılarının özel anahtarlarını ve kişisel verilerini yanlışlıkla ifşa eden iki kripto para borsasının kullanıcılara ait 18 milyon doların üzerinde kripto parayı da tehlikeye attığı belirlendi.
CyberNews tarafından bildirildiği üzere, güvenlik araştırmacılarının belirlediği iki borsadan biri İsveç merkezli Lykke’ydi. Bu borsanın halka açık bir veritabanı içindeki sıcak cüzdanlarda 16.5 milyon dolarlık kripto para yer aldığı tespit edildi.
Veritabanını tarayan araştırmacılar, Lykke’nin API anahtarlarına rahatlıkla ulaşarak platformun içine sınırsız erişim sağladılar. API anahtarları ile alım satım, para yatırma ve çekme işlemleri yapabilirlerdi. Daha sonra, müşterilerin özel anahtarlarına eriştiler. Bu özel anahtarlarla da müşterinin cüzdanına doğrudan ulaşarak harcama, transfer ve alım satım dahil olmak üzere birçok şeyi gerçekleştirebilirlerdi.
Araştırmacılar, eriştikleri veritabanında her müşterinin işlemlerini ve bakiyelerini de görebildiler.
Lykke, kullanıcılarının paralarının güvenliğini ciddi bir şekilde tehlikeye atan tek borsa değildi.
Çin merkezli merkeziyetsiz borsa Hubdex’te de benzer bir durum keşfedildi. 160 binden fazla kullanıcısı olduğunu iddia eden bu platformun veritabanına da kolaylıkla girilebildi ve özel anahtarlar ile şifrelere ek olarak kullanıcıların kimlik doğrulama için verdikleri özel belgelere de ulaşıldı. Hubdex’te erişime açık olan 1 milyonun üzerinde özel anahtar bulundu. Araştırmacılar, borsadaki kullanıcı varlığının 1-2 milyon dolar olduğunu tahmin ediyorlar.
Habere göre Lykke, beyaz şapkalı hacker’lara hızlı bir şekilde yanıt vererek veritabanlarında güvenlik açığı olduğunu doğruladı ve problemi giderdi. Hubdex’teki açık da çabucak kaldırıldı.