Blockfolio'da Siber Güvenlik Açığı

En popüler kripto para birimi portföy izleme uygulamalarından biri olan Blockfolio, bilgisayar korsanlarının saldırıları için oldukça arzu edilen bir hedef olabilir.

En popüler kripto para birimi portföy izleme uygulamalarından biri olan Blockfolio, bilgisayar korsanlarının saldırıları için oldukça arzu edilen bir hedef olabilir.

22 Nisan'da piyasa değeri 201 milyar ABD doları olan yaklaşık 5.400 kripto para birimi işlem görüyor. Günün 24 saatlik işlem hacmi, sektörün devam eden büyümesinin ve aktif yatırımcı katılımının önemli bir göstergesi olan 100 milyar dolar civarında seyrediyor.

Kripto para birimlerinin mevcut en değişken varlıklar arasında olduğu ve dalgalanmalarını sürekli olarak izlemeyi neredeyse imkansız hale getirdiği iyi bilinen bir gerçektir. Neyse ki, 2017'den beri bir dizi kripto para portföy izleyicisinin geliştirildiğini ve piyasaya kabul edildiğini gördük.

Kripto para birimi portföyleri, yatırımcılar tarafından farklı kripto varlık türleri arasında tutulan her türlü yatırım grubunu temsil eder. Örneğin, bir yatırımcı 10 tokena veya daha fazlasına sahipse, bunlar toplu olarak yatırım portföylerini temsil eder. Portföy, tüccar / yatırımcının stilini, risk toleransını ve piyasa stratejilerinin temel unsurlarını yansıtır.

Blockfolio’nun ön plana çıkması

COVID-19 pandemisinin kripto para birimi sektörü üzerindeki ekonomik etkisi hakkında çok vokal olan Tokenmetrics'in blok zinciri girişimcisi, yatırımcısı, analisti ve CEO'su Ian Balina, Blockfolio'yu 2017'de etkileyici Blockfolio ekran görüntülerini Instagram'da yayınladığında ünlü kıldı. Balina, bir iş bağlamında kripto paraların kullanımına kesin bir inanır.

Blockfolio uygulaması, en uzun süredir devam eden izleme platformları arasındadır ve günümüzde çoğu banka hesaplarınızı bir uygulama programlama arabirimi veya API aracılığıyla bağlayan, harcamalarınızı senkronize eden ve sizi vergi zamanına hazır hale getiren kişisel muhasebe yazılım araçlarınızın bir parçası olabilir. Kullanıcının, başlangıçta satın alındığı ve / veya satıldığı fiyatı ekleme yeteneğinin yanı sıra çeşitli kripto para birimleri girmesine izin verir. Çekici kullanıcı arayüzü, bir dizi önde gelen etkileyicinin kullanımı ile birleştiğinde, Blockfolio'yu 2017'de en çok indirilen kripto para birimi uygulamalarından biri yaptı.

Blockfolio ayrıca son birkaç aydır “Blockfolio Signal” adlı bir özellik başlattı - uygulama içinde ana iletişim platformu olarak hizmet edeceğine inandığı bir özellik. Bu özellik, portföyünüzde bulunan veya portföyünüze eklemek istediğiniz varlıkların her birinin arkasındaki ekiplerden ek bildirimler sunar.

Diğer bir özellik, yatırımlarınızın sınıflandırılması ve bireysel takibi açısından son derece yararlı olabilecek birden fazla portföy kurma yeteneğidir.

Blockfolio şu anda Binance, Bitfinex, Bittrex, Coinbase ve Coinbase Pro, OKEx ve Poloniex'i desteklemektedir ve son zamanlarda kullanıcılarına, yaklaşan vergi sezonunun önüne geçmek için mevcut kripto portföylerini TokenTax’in otomatik yazılımına aktarma olanağı sağladı. Blockfolio'nun kullanımı da tamamen ücretsiz, ancak Blockfolio’nun kurucusu yakın zamanda yaptığı açıklamada, Blockfolio Signal özelliği etrafında yakın gelecekte uygulamadan para kazanmayı planladığını söyledi.

Blockfolio platformu, portföylerini yönetmek için kullanan 5 milyondan fazla aktif kullanıcıya sahiptir. Blockfolio Signal'da Monero (XMR), Dash, NEO, Ether (ETH), NEM, Zcash (ZEC) ve benzeri ekip üyelerini ve temsilcilerini içeren 400'den fazla ekip var. Blockfolio ayrıca 8.000'den fazla kripto varlığını destekler ve herhangi bir fiyat veya piyasa güncellemesinden haberdar olmak için sürekli 300 borsadan veri toplar.

Blockfolio güvenlik açığı hakkında daha fazla bilgi

Son zamanlarda Blockfolio'nun kaynak kodunda büyük bir güvenlik açığı ortaya çıktı. Uygulamanın önceki sürümlerinde ortaya çıkan güvenlik açığı, bir bilgisayar korsanının kapalı kaynak kodunu çalmasını ve muhtemelen Blockfolio’nun GitHub deposunda ve sonunda uygulamanın kendisine kendi kodunu girerek verileri değiştirmesini sağlayacaktır.

Kullandığı kripto para birimi platformlarının güvenliğini değerlendirdikten sonra, siber güvenlik firması Intezer'de güvenlik araştırmacısı Paul Litvak zayıflığı ortaya çıkardı. Litvak, ticaret botları geliştirdiği 2017'den bu yana kripto para birimleriyle ilgileniyor ve Blockfolio, son keşfe kadar tercih ettiği yönetim platformuydu.

Şu anda 47 milyondan fazla blockchain cüzdan kullanıcısıyla, bilgisayar korsanlarının hedefleyebileceği geniş bir olası kurban havuzu var, bu yüzden aktif olarak kripto para birimi platformlarını hedefliyorlar. Litvak kodu, dosya adı ve en önemlisi depolara erişime izin veren GitHub anahtarı da dahil olmak üzere bir dizi sabit kullanarak kuruluşun GitHub veri havuzuna bağlandı.

Uygulama, Blockfolio’nun özel GitHub deposunu sorguladı ve bu sorgu, Blockfolio’nun SSS’lerinin doğrudan GitHub’dan hemen indirilmesine yol açtı; bu, şirketi her değişiklik yaptığında uygulamalarını güncelleme çabasını kurtarmak için muhtemelen bir adım attı.

Bununla birlikte, Litvak'ın keşfettiği anahtar, tüm GitHub deposuna erişip kullanabileceği için zahmetliydi.

Blockfolio'nun savunmasız kaynak kodu

GitHub'a göre, bir "repo", hem kamu hem de özel depolara doğrudan erişim sağlar ve diğer özelliklerin yanı sıra, kod ve taahhüt durumlarını ve organizasyon projelerini okuma ve yazma yeteneğini içerir.

Daha da kötüsü, ortaya çıkarılan güvenlik açığı iki yıldır halka açıktı ve hala açık kaldı. Litvak, Blockfolio'yu sosyal medya yoluyla güvenlik açığı konusunda uyardı, çünkü Blockfolio güvenlik açıklarını kaldırmak için bir hata ödül programı kullanmıyor.

Blockfolio’nun kurucu ortağı ve CEO'su Edward Moncada, GitHub erişim belirtecinin kod tabanının eski sürümlerinde yanlışlıkla bırakıldığını ve güvenlik açığı konusunda uyarıldıkları anda söz konusu anahtara erişimi iptal ettiklerini doğruladı. Moncada, Blockfolio'nun sistemlerinde bir denetim gerçekleştirdiğini ve hiçbir değişiklik yapılmadığını belirtti. Simge, kullanıcı verilerinin depolandığı veritabanından ayrı bir koda erişim sağladığından hiçbir kullanıcı verisi risk altında değildi.

 Token, birinin kaynak kodunu değiştirmesine izin vermiş olabilir, ancak sistemde herhangi bir değişiklik veya güncelleme yayınlanmadan önce kontrol edilen birkaç dahili prosedür vardır ve bu nedenle, kötü amaçlı kod herhangi bir kullanıcının işletim sistemini tehlikeye atabilir.

En güncel haberleri almak için Telegram kanalımıza, Twitter sayfamıza ve Facebook sayfamıza abone olabilirsin.