Merhaba,
JWT kullanıyoruz demişsiniz, gizli anahtarınızın ele geçirilmediğinden emin misiniz? veya anahtarın geçerliliğini veya zaman aşımını kontrol ediyor musunuz? anahtarı güncelleyin öncelikle isterseniz.
İzinsiz kredi yükleyen hesapların loglarını incelemenizi tavsiye ederim, hangi adreslere hangi isteklerde bulunmuşlar. İstekleri takip ederek açığı yakalayabilirsiniz.
veya kredi yüklenebilecek bütün kod parçacıklarının üzerine küçük bir log kaydı tutturmaya başlayıp kredinin yine hangi dosyadan veya nasıl yüklendiğini anlayabilirsiniz.
Evet bende jwt kullanıp kullanmadığını sormuştum. Dediğiniz gibi ya gizli anahtar çalınmıştır. Yada kredi yükleme kısmında jwt kontrolü yapmıyordur.