האקרים הצליחו לפרוץ לחשבונות משתמשים בבורסת הקריפטו הגדולה בעולם בינאנס באמצעות תוסף כרום זדוני בשם Aggr. סוחר סיני, הכותב תחת שם המשתמש CryptoNakamao ברשת החברתית X (לשעבר טוויטר), טוען כי איבד מיליון דולר בהונאה המתוחכמת. לטענתו, בינאנס ידעה על פרצת האבטחה אך לא פעלה כדי למנוע את הגניבה.
לדברי הסוחר, ב-24 במאי החשבון שלו בבינאנס החל לסחור באופן אקראי, ורק כשנכנס במקרה לאפליקציה של הבורסה כדי לבדוק את מחיר הביטקוין הבחין בכך. עד שפנה לסיוע מבינאנס, ההאקר כבר משך את כל הכספים.
על פי תיאור השתלשלות העניינים שכתב קורבן הפריצה בחשבונו ב-X, למרות הפעילות החריגה והחשודה בחשבונו הוא לא קיבל שום התראה מבינאנס ולא נעשה דבר מצד החברה לעצור את פעילות ההאקרים או למנוע את הגניבה.
כך גנבו את הכסף בלי להוציא אותו מהבורסה
בשלב ראשון ההאקרים השיגו גישה לנתוני קובצי ה-Cookies של הדפדפן. את הגישה השיגו הפושעים דרך תוסף לדפדפן כרום בשם Aggr שהסוחר התקין מיוזמתו. לכאורה, התוסף נועד לספק מידע על השוק מאתרים שונים, אבל בפועל הוטמע בו קוד תוכנה זדוני שאיפשר את העברת הנתונים הרגישים לגורמים עוינים.
ההאקרים השתמשו בנתונים שנגנבו כדי להשתלט על חשבונות פעילים בבינאנס ללא שנדרשו להזין סיסמה או לבצע הליך אימות. אבל התחברות לחשבון המשתמש בבורסה אינה מספיקה – שכן כדי למשוך מטבעות לארנק דיגיטלי אחר יש להשלים הליך של אימות דו-שלבי שלא היתה להם גישה אליו.
לכן במקום למשוך את הכספים ישירות לארנקים שבשליטתם, ההאקרים השתמשו בכספי הקורבן בזמן שהם עדיין נמצאים בחשבונו האישי בבינאנס כדי לבצע עסקאות ממונפות, במטרה להקפיץ מחירים בזוגות מסחר של מטבעות בעלי נזילות נמוכה במיוחד. בהמשך הם מכרו מיד את המטבעות שעליהם בוצעה המניפולציה דרך חשבון אחר ובמחיר מופקע – על חשבון הכספים שאיבד הקורבן בפעולת המסחר שלא ביקש לבצע.
קרבן התקיפה מאשים: "בינאנס ידעה ולא עשתה דבר"
הסוחר טוען כי בינאנס לא יישמה אמצעי אבטחה חיוניים חרף הפעילות החריגה בחשבון, ולא נקטה צעדים גם לאחר שהתריע בפניה על כך.
בחקירה עצמאית שערך לדבריו בסיוע חברת אבטחת מידע, גילה כי בינאנס הייתה מודעת לתוסף הזדוני זמן רב והייתה כבר בעיצומה של חקירה פנימית בנושא. למרות שהכירה את כתובת ההאקר ואת מהות ההונאה, נמנעה מליידע את הסוחרים או לנקוט בצעדים למניעתה.
הסוחר כתב: "בינאנס לא עשתה דבר למרות שידעה על הגניבה ועל פעולות המסחר הצולב התכופות. ההאקרים תמרנו חשבונות במשך יותר משעה, וגרמו לעסקאות חריגות ביותר במספר זוגות מטבעות בלי שום בקרת סיכונים; בינאנס לא הקפיאה בזמן את הכספים".
בעקבות טענות הסוחר פנו מאתר חדשות הקריפטו Cointelegraph לבינאנס לקבלת תגובה, אולם נכון למועד כתיבת שורות אלה החברה טרם שלחה תגובה, ולא התייחסה לעניין בחשבון ה-X שלה או בבלוג הרשמי.
