Un comerciante chino fue víctima de una estafa de piratería informática y perdió 1 millón de dólares a través de un complemento promocional de Google Chrome llamado Aggr.

Este complemento malicioso roba cookies de los usuarios, lo que permite a los piratas informáticos eludir tanto las contraseñas como la autenticación de dos factores (2FA) para acceder a la cuenta de Binance de la víctima.

Cuenta de Binance comprometida a través de cookies robadas

El comerciante, conocido por el nombre de usuario CryptoNakamao en la plataforma de redes sociales X, contó el devastador evento que ocurrió el 24 de mayo. CryptoNakamao notó actividades comerciales aleatorias en su cuenta de Binance cuando verificó el precio de Bitcoin a través de la aplicación Binance. Cuando buscó ayuda, el hacker ya había retirado todos sus fondos. 

Según el comerciante, los piratas informáticos aprovecharon los datos de las cookies de su navegador, que habían obtenido a través del complemento Aggr Chrome. Inicialmente instalado para acceder a datos de comerciantes destacados, el complemento en realidad fue diseñado para robar datos de navegación web y cookies de los usuarios. Las cookies robadas permitieron a los piratas informáticos secuestrar sesiones de usuarios activos sin necesidad de contraseñas ni autenticación, ejecutando múltiples operaciones apalancadas para manipular los precios de pares de baja liquidez con fines de lucro.

A pesar de que el pirata informático no pudo retirar fondos directamente debido a 2FA, aprovechó las cookies y las sesiones de inicio de sesión activas para ejecutar operaciones cruzadas. El comerciante detalló cómo el hacker compró varios tokens en el par comercial Tether con alta liquidez y colocó órdenes de venta limitadas por encima del precio de mercado en Bitcoin, USD Coin y otros pares con baja liquidez.

Al abrir posiciones apalancadas y comprar cantidades excedentes, el hacker completó con éxito el comercio cruzado, que implica compensar órdenes de compra y venta para el mismo activo sin registrar la operación en el intercambio.

CryptoNakamao culpa a Binance por la inacción

CryptoNakamao acusó a Binance de no implementar medidas de seguridad esenciales a pesar de una actividad comercial inusualmente alta. Afirmó que incluso después de las quejas oportunas, el intercambio no tomó medidas para detener las actividades fraudulentas. Su investigación reveló que Binance estaba al tanto del complemento fraudulento y ya estaba realizando una investigación interna. A pesar de esto, Binance supuestamente no informó a los comerciantes ni tomó medidas preventivas contra el fraude. 

El comerciante expresó su frustración y afirmó: “Binance no hizo nada a pesar de que sabía del robo y del frecuente comercio cruzado. Los piratas informáticos manipularon cuentas durante más de una hora, provocando transacciones extremadamente anormales en múltiples pares de divisas sin ningún control de riesgos; Binance no logró congelar a tiempo los fondos de la cuenta única del hacker obvio en la plataforma”.

Binance niega violación de seguridad

Yi He, cofundador de Binance, desestimó las afirmaciones de que la violación de seguridad de la plataforma provocó la pérdida de 1 millón de dólares de una sola cuenta de usuario. El 3 de junio, Yi He aclaró: “La cuenta de este usuario fue vulnerada porque su propia computadora fue pirateada; son una causa perdida. Después del hack, el hacker no pudo retirar fondos, por lo que vendió las monedas de la víctima, lo que provocó pérdidas comerciales”.

CryptoNakamao respondió, alegando que todo el saldo de su cuenta se perdió a través del "comercio de compensación" sin que el hacker obtuviera la contraseña de su cuenta de Binance o las instrucciones 2FA. Explicó que el hacker manipuló su cuenta manteniendo como rehenes sus cookies web, comprando los tokens correspondientes en el par comercial USDT con alta liquidez y colocando órdenes de venta limitadas por encima del precio de mercado en BTC, USDC y otros pares con baja liquidez.

Yi He advirtió además a los usuarios sobre los riesgos de iniciar sesión en cuentas con complementos de cookies activos para evitar el pequeño inconveniente de escribir contraseñas para cada inicio de sesión. Ella afirmó: "Binance no puede compensar a los usuarios cuando sus propios dispositivos de inicio de sesión se ven comprometidos".

Él, un ex presentador de televisión chino, es actualmente una de las dos mujeres que lideran los intercambios de cifrado más grandes del mundo, junto con la directora ejecutiva de Bitget, Gracy Chen. En abril, comentó que su cónyuge, el cofundador y ex director ejecutivo de Binance, Changpeng Zhao, recibió el "resultado más óptimo" en su sentencia en Estados Unidos por cargos de lavado de dinero.

La publicación Usuario pierde $1 millón: Binance niega culpa en estafa de piratería apareció por primera vez en Coinfomania.