Un cliente Binance perde 1 milione di dollari a causa di una sofisticata truffa sui plugin

Un investitore in criptovaluta ha subito una violazione della sicurezza, che ha comportato la perdita di circa 1 milione di dollari dal suo conto Binance. L’incidente si è svolto senza che l’hacker avesse bisogno della password dell’account o dell’autenticazione a due fattori (2FA), utilizzando una sofisticata tecnica di “counter-trading” che manipolava le operazioni di mercato.

Dopo aver indagato sulla violazione con una società di sicurezza, la vittima ha scoperto che il responsabile del furto era un agente sotto copertura all'interno della comunità delle criptovalute. L'agente ha utilizzato un'estensione Chrome apparentemente innocua consigliata da figure fidate per dirottare la sessione di trading della vittima ed eseguire transazioni non autorizzate.

Sono diventato vittima di un agente sotto copertura nel circolo valutario. Il milione di dollari nel mio conto Binance è stato spazzato via. Sono ancora confuso fino ad oggi. Questi sono quasi tutti i miei risparmi negli ultimi anni. … pic.twitter.com/sSNUTXFZsc

— Nakamao🫡 (@CryptoNakamao) 3 giugno 2024

Come è stato eseguito l'attacco

L’hacker ha manipolato l’account della vittima dirottando i cookie web per ottenere il controllo. Hanno quindi acquistato e venduto in modo aggressivo criptovalute in coppie di trading a bassa liquidità, creando movimenti di mercato artificiali. L'account della vittima mostrava ingenti acquisti in QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC e NEO/USDC, alterandone significativamente i prezzi.

Nonostante le segnalazioni immediate a Binance, la risposta della piattaforma è stata criticata per la sua lentezza e inefficienza. I fondi rubati sono stati rapidamente spostati dall’exchange prima che potesse essere intrapresa qualsiasi azione preventiva, sollevando notevoli preoccupazioni sulla gestione del rischio e sui protocolli di sicurezza dell’exchange.

Ulteriori indagini hanno evidenziato il ruolo del plug-in "Aggr" di Chrome, che raccoglieva segretamente i dati degli utenti e consentiva il dirottamento della sessione. Sebbene la piattaforma fosse a conoscenza della presenza del plugin da un precedente avviso di sicurezza, la sua potenziale minaccia non è stata comunicata tempestivamente agli utenti.