Un commerçant chinois a été victime d'un piratage informatique et a perdu 1 million de dollars grâce à un plugin promotionnel de Google Chrome nommé Aggr.

Ce plugin malveillant vole les cookies des utilisateurs, permettant aux pirates de contourner à la fois les mots de passe et l'authentification à deux facteurs (2FA) pour accéder au compte Binance de la victime.

Compte Binance compromis par des cookies volés

Le commerçant, connu sous le nom d'utilisateur CryptoNakamao sur la plateforme de médias sociaux X, a raconté l'événement dévastateur qui s'est produit le 24 mai. CryptoNakamao a remarqué des activités de trading aléatoires sur son compte Binance lorsqu'il a vérifié le prix du Bitcoin via l'application Binance. Au moment où il a demandé de l’aide, le pirate informatique avait déjà retiré tous ses fonds. 

Selon le commerçant, les pirates ont exploité les données des cookies de son navigateur, qu'ils avaient obtenues via le plugin Aggr Chrome. Initialement installé pour accéder aux données de commerçants de premier plan, le plugin a en réalité été conçu pour voler les données de navigation Web et les cookies des utilisateurs. Les cookies volés ont permis aux pirates de détourner les sessions d'utilisateurs actifs sans avoir besoin de mots de passe ni d'authentification, en exécutant plusieurs transactions à effet de levier pour manipuler les prix des paires à faible liquidité à des fins lucratives.

Bien que le pirate informatique ne soit pas en mesure de retirer des fonds directement en raison du 2FA, il a exploité les cookies et les sessions de connexion actives pour exécuter des transactions croisées. Le commerçant a détaillé comment le pirate informatique a acheté plusieurs jetons dans la paire de négociation Tether avec une liquidité élevée et a passé des ordres de vente limités au-dessus du prix du marché en Bitcoin, USD Coin et d'autres paires à faible liquidité.

En ouvrant des positions à effet de levier et en achetant des montants excédentaires, le pirate informatique a réussi à réaliser des transactions croisées, qui consistent à compenser les ordres d'achat et de vente pour le même actif sans enregistrer la transaction en bourse.

CryptoNakamao blâme Binance pour son inaction

CryptoNakamao a accusé Binance de ne pas avoir mis en œuvre des mesures de sécurité essentielles malgré une activité commerciale inhabituellement élevée. Il a affirmé que même après des plaintes opportunes, la bourse n'avait pris aucune mesure pour mettre fin aux activités frauduleuses. Son enquête a révélé que Binance était au courant du plugin frauduleux et menait déjà une enquête interne. Malgré cela, Binance n'aurait pas informé les commerçants ni pris de mesures préventives contre la fraude. 

Le commerçant a exprimé sa frustration en déclarant : « Binance n'a rien fait même si elle était au courant du vol et des fréquents échanges croisés. Les pirates ont manipulé les comptes pendant plus d'une heure, provoquant des transactions extrêmement anormales dans plusieurs paires de devises sans aucun contrôle des risques ; Binance n’a pas réussi à geler à temps les fonds du compte unique du pirate informatique évident sur la plateforme.

Binance nie toute violation de la sécurité

Yi He, co-fondateur de Binance, a rejeté les allégations selon lesquelles la faille de sécurité de la plateforme aurait entraîné la perte d'un million de dollars sur un seul compte utilisateur. Le 3 juin, Yi He a précisé : « Le compte de cet utilisateur a été piraté parce que son propre ordinateur a été piraté ; c'est une cause perdue. Après le piratage, le pirate informatique n’a pas pu retirer de fonds, il a donc vendu les pièces de la victime, entraînant des pertes commerciales.

CryptoNakamao a répondu, alléguant que l'intégralité du solde de son compte avait été perdue à cause d'un « échange de contrepartie » sans que le pirate informatique n'obtienne le mot de passe de son compte Binance ou les instructions 2FA. Il a expliqué que le pirate informatique avait manipulé son compte en prenant en otage ses cookies Web, en achetant les jetons correspondants dans la paire de négociation USDT à haute liquidité et en plaçant des ordres de vente limités au-dessus du prix du marché en BTC, USDC et d'autres paires à faible liquidité.

Yi He a en outre averti les utilisateurs des risques liés à la connexion à des comptes avec des plugins de cookies actifs afin d'éviter les inconvénients mineurs liés à la saisie de mots de passe pour chaque connexion. Elle a déclaré : « Binance n'est pas en mesure d'indemniser les utilisateurs lorsque leurs propres appareils de connexion sont compromis. »

Lui, ancien animateur de télévision chinois, est actuellement l'une des deux femmes à la tête des plus grands échanges cryptographiques au monde, aux côtés de la PDG de Bitget, Gracy Chen. En avril, elle a fait remarquer que son épouse, Changpeng Zhao, co-fondateur et ancien PDG de Binance, avait obtenu le « résultat le plus optimal » lors de sa condamnation aux États-Unis pour blanchiment d’argent.

Le poste L'utilisateur perd 1 million de dollars : Binance nie tout blâme dans une arnaque au piratage apparaît en premier sur Coinfomania.