Обход 2FA на Binance и потеря 200000$

Должны ли Binance возместить украденные деньги?

  • Да

    Голосов: 4 100.0%
  • Нет

    Голосов: 0 0.0%
  • Свой вариант (напишу в комментариях)

    Голосов: 0 0.0%

  • Всего проголосовало
    4

AlexV

В теневом с 2008 г.
Команда форума
Модератор
Private Club
Старожил
Migalki Club
Регистрация
18/1/18
Сообщения
3.197
Репутация
8.842
Реакции
6.846
RUB
0
Депозит
1 000 рублей
Сделок через гаранта
6
374b7991688674b89b017800486da98a.jpg


Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что мыслей о своей безопасности не возникает: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. Речь идёт о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной крипто бирже Binance. Первые реакция и мысли от жертвы можете увидеть .

С применением социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого можно скачать , а оригинальный файл которым осуществлялось заражение . Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.

16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через loader первичного вируса успешный и незаметный вход на саму биржу.

Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA-подтверждений через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (графика) и как выяснилось на многих хакерских форумах почти сразу начали появляться предложения о "выводе" денег с балансов через данную уязвимость. В Google просто введя фразу "обход 2FA Binance" можно встретить действительно огромный выбор исполнителей.

Сам взлом как и кража средств была проведена очень простым и ироничным способом: хакер разместил NFT по цене 193000$ и просто купил его с аккаунта жертвы у самого себя. Для этого на бирже нет абсолютно никаких ограничений, подтверждений и попросту механизмов защиты. Далее по словам BInance деньги были выведены с биржи, а сам аккаунт как они предполагают был "взломан". Сразу же возникает вопрос как хакер обходил на чужом аккаунте всё те-же двухфакторные авторизации. Может аккаунты оформлены на поддельные документы и биржа не желает признать что её "верификация" не более чем "пук в муку"?

По некоторым данным доход биржи за год составил 200 млрд $ и как я считаю они не имеют права на такие глупые ошибки в своей политике безопасности. Ведь решение просто лежит на поверхности:

  • Для NFT должен быть отдельный счет, перевод средств на который только через 2FA (и за отсутствие данного решения бирже и их специалистам по безопасности по моему мнению должно быть стыдно)
  • Если обнаруживается 2 одинаковые активные сессии - последняя должна сбрасываться, а на первой должно появится уведомление об этом.
  • PIN для авторизации с новых IP на WEB-интерфейсе. Даже для активной сессии.
Моё мнение: Binance обязаны компенсировать все украденные деньги по простой причине: это не вина пользователя. И они в таких случаях обязались возвращать средства. Да, пользователь подхватил вирус, но, пользователь был уверен что вывод без 2FA не возможен. Это именно дыра в их безопасности. Потому Binance обязаны извинится за долгое отсутствие реакции, а так-же немедленно исправить данную уязвимость пересмотрев те дыры услуги по которым предоставляют все кому не лень. Для биржи с такими доходами не должно быть проблемой просто взять и "воспользоваться" услугами этих хакеров, обнаружить проблемы и исправить. Это говорит о многом.

Доверяйте, но проверяйте. Но если Вы далеки от этих дел и Вам не понятна суть проблемы:

Представьте свой банковский кабинет. За перевод средств с Вас спрашивают код. Вы защищёны ровно до того момента как не появится в банке магазин nft-картинок который Вы даже не открывали и не знаете что оно такое и как работает. В мобильных приложениях данного раздела попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс.

Вы не знаете ни что там, ни зачем оно надо. Вы просто пропустили эту инновацию и не знаете как она функционирует. Вы знаете что у биржи на аккаунте есть разные счета: спотовый, фьючерсный и несколько остальных один из которых "p2p" средства с которого можно выслать напрямую другому пользователю только с подтверждением. Мало того, между этими счетами нужно специально переводить деньги с одного раздела на другой. И так, Вы не используя nft маркет просто не подозреваете о том, что кто угодно может сделать картинку ценой в весь Ваш баланс и без всяких подтверждений купить это заполучив Вашу сессию. Повторюсь: купить nft - это тоже самое что просто перевести другому пользователю деньги. И для этого бинанс не создал даже отдельный внутренний кошелек, средства на который по логике безопасности должны были бы переводится с обычных счетов через 2fa. Потому-что повторяюсь: nft маркет позволяет ставить любую цену и получать оплату в полном размере.

У Вас не спросили нужен ли Вам этот маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от плохой проработки аспекта безопасности нововведения. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.

Поймать троян можно множеством способов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут Вас заразить через браузер просто при пассивном посещении любого сайта. Вас могут протроянить склейкой с полезным файлом или используя уязвимости в системе и Вы попросту здесь не виноваты. Вы просто были подключены к интернету и не выполняли никаких действий. Ваши пароли могут украсть расширения из официального магазина браузера. Потому Вы рассчитываете на то, что главные действия с деньгами будут требовать подтверждения 2fa даже если Вас взломают. И биржа получает с Вас комиссионные за каждую сделку. Она работает не на "добром слове", а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?

 
  • Теги
    binance nft крипта обход 2fa потери
  • Сверху Снизу