Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что мыслей о своей безопасности не возникает: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. Речь идёт о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной крипто бирже Binance. Первые реакция и мысли от жертвы можете увидеть здесь.

С применением социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого можно скачать отсюда, а оригинальный файл которым осуществлялось заражение здесь. Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.

16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через loader первичного вируса успешный и незаметный вход на саму биржу.

Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA-подтверждений через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (графика) и как выяснилось на многих хакерских форумах почти сразу начали появляться предложения о "выводе" денег с балансов через данную уязвимость. В Google просто введя фразу "обход 2FA Binance" можно встретить действительно огромный выбор исполнителей.

Сам взлом как и кража средств была проведена очень простым и ироничным способом: хакер разместил NFT по цене 193000$ и просто купил его с аккаунта жертвы у самого себя. Для этого на бирже нет абсолютно никаких ограничений, подтверждений и попросту механизмов защиты. Далее по словам BInance деньги были выведены с биржи, а сам аккаунт как они предполагают был "взломан". Сразу же возникает вопрос как хакер обходил на чужом аккаунте всё те-же двухфакторные авторизации. Может аккаунты оформлены на поддельные документы и биржа не желает признать что её "верификация" не более чем "пук в муку"?

По некоторым данным доход биржи за год составил 200 млрд $ и как я считаю они не имеют права на такие глупые ошибки в своей политике безопасности. Ведь решение просто лежит на поверхности:

  • Для NFT должен быть отдельный счет, перевод средств на который только через 2FA (и за отсутствие данного решения бирже и их специалистам по безопасности по моему мнению должно быть стыдно)

  • Если обнаруживается 2 одинаковые активные сессии - последняя должна сбрасываться, а на первой должно появится уведомление об этом.

  • PIN для авторизации с новых IP на WEB-интерфейсе. Даже для активной сессии.

Моё мнение: Binance обязаны компенсировать все украденные деньги по простой причине: это не вина пользователя. И они в таких случаях обязались возвращать средства. Да, пользователь подхватил вирус, но, пользователь был уверен что вывод без 2FA не возможен. Это именно дыра в их безопасности. Потому Binance обязаны извинится за долгое отсутствие реакции, а так-же немедленно исправить данную уязвимость пересмотрев те дыры услуги по которым предоставляют все кому не лень. Для биржи с такими доходами не должно быть проблемой просто взять и "воспользоваться" услугами этих хакеров, обнаружить проблемы и исправить. Это говорит о многом.

Доверяйте, но проверяйте. Но если Вы далеки от этих дел и Вам не понятна суть проблемы:

Представьте свой банковский кабинет. За перевод средств с Вас спрашивают код. Вы защищёны ровно до того момента как не появится в банке магазин nft-картинок который Вы даже не открывали и не знаете что оно такое и как работает. В мобильных приложениях данного раздела попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс.

Вы не знаете ни что там, ни зачем оно надо. Вы просто пропустили эту инновацию и не знаете как она функционирует. Вы знаете что у биржи на аккаунте есть разные счета: спотовый, фьючерсный и несколько остальных один из которых "p2p" средства с которого можно выслать напрямую другому пользователю только с подтверждением. Мало того, между этими счетами нужно специально переводить деньги с одного раздела на другой. И так, Вы не используя nft маркет просто не подозреваете о том, что кто угодно может сделать картинку ценой в весь Ваш баланс и без всяких подтверждений купить это заполучив Вашу сессию. Повторюсь: купить nft - это тоже самое что просто перевести другому пользователю деньги. И для этого бинанс не создал даже отдельный внутренний кошелек, средства на который по логике безопасности должны были бы переводится с обычных счетов через 2fa. Потому-что повторяюсь: nft маркет позволяет ставить любую цену и получать оплату в полном размере.

У Вас не спросили нужен ли Вам этот маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от плохой проработки аспекта безопасности нововведения. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.

Поймать троян можно множеством способов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут Вас заразить через браузер просто при пассивном посещении любого сайта. Вас могут протроянить склейкой с полезным файлом или используя уязвимости в системе и Вы попросту здесь не виноваты. Вы просто были подключены к интернету и не выполняли никаких действий. Ваши пароли могут украсть расширения из официального магазина браузера. Потому Вы рассчитываете на то, что главные действия с деньгами будут требовать подтверждения 2fa даже если Вас взломают. И биржа получает с Вас комиссионные за каждую сделку. Она работает не на "добром слове", а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?

Комментарии (50)


  1. Billar Автор
    24.08.2021 05:46

    И ведь биржи себя мнят как заменители банков, но не способны при этом распознать потенциально опасные действия на аккаунтах пользователей. Лично мой банк множество раз перезванивал для подтверждения того, что операции на моём счете проводятся мной. Просто так, для галочки. Без особых причин. Пока биржи не начнут относится к пользователям и их безопасности с должным вниманием - не быть крипте реальными деньгами.


    1. burzooom
      24.08.2021 07:40

      просто прикрепленный к вам ваш сотрудник сбербанка решил подойти к задаче с терпением, с десяток обычных звонков, а на 11тый - "ваши деньги в опасности"


    1. vikarti
      24.08.2021 15:00

      Ну — у меня обычно сначала блокировка карты прилетает а уже затем — надо звонить в банк, представлятся, объяснять что делалось и что да это мое и да хочу разблокировать.
      При этом могут и спросить — операцию сами делали или как?
      На что триггер в данном случае я подозреваю (операции с одинаковыми суммами одна за одной). При этом на то, что за мерчант — автоматике плевать.


  1. Daemon_Hell
    24.08.2021 06:10
    -2

    Двоякая ситуация. А что если бы деньги слили в "обычный рынок"? Для хакера это вышло бы дороже, но гулять так гулять.

    Не делать же после этого авторизацию для каждой заявки?


    1. Billar Автор
      24.08.2021 06:22
      +1

      На спотовом и фьючерсном рынке хакер бы не смог получить эти средства никоим образом. Он мог бы их просто слить совершая не выгодные сделки.

      Но вы меня подтолкнули к мысли, что должен быть счет на бинансе, средства с которого можно переводить только через авторизацию. Аналогия на холодный кошелек, только внутри самой биржи.


      1. DGN
        24.08.2021 08:39
        +8

        Много раз говорено, биржа это не кошелек. Не ваш карман. Сколько еще бирж должно соскамиться и сколько аккаунтов взломано?


        1. DrySpy
          24.08.2021 14:05
          +1

          хомякам какой смысл это объяснять? Им нужна дыра в которую спускать заимствованные средства :)


        1. Billar Автор
          24.08.2021 14:07
          +3

          А где торговать фьючерсами?


          1. ustas33
            25.08.2021 20:03

            На DEX )
            https://trade.dydx.exchange
            https://perp.exchange/
            К сожалению они пока не Eht, жду когда переедут на более дешевые блокчейны.


        1. uncia
          26.08.2021 00:24

          Не все валюты поддерживаются холодными кошельками, а горячий кошелек ничем не лучше биржи. Про транзакции туда-сюда тоже стоит помнить.


      1. Daemon_Hell
        24.08.2021 09:11
        +1

        При определенной сноровке - можно вполне получить слитые деньги. Все что нужно - инструмент с достаточно широким спредом. Злоумышленник ставит заявки по краям спреда, а со счета пострадавшего бьет в них. Повторяется до тех пор пока все деньги не перекочуют к злоумышленнику (минус комиссия биржи)


        1. Billar Автор
          24.08.2021 11:36
          +1

          Для этого хакер должен купить этот актив на ту сумму которую собирается украсть (ибо он же должен что-то в твоем варианте продавать) и если ему повезет, что на популярной бирже он в стакане будет один (не возможно, на каждой монете по сотне ботов и твои лимитки будут стоять в очереди после них), то он сможет снять прибыль лишь в пределах спреда. Допустим купил за доллар, а продает за два. Ситуация и методика к счастью попросту не возможная к выполнению. Хотел бы ч посмотреть как ты вкинешь на левый аккаунт своих 200к, найдешь такой спред, пустой стакан и проявишь всемогущую сноровку.


          1. tmaxx
            24.08.2021 16:07
            +1

            Не знаю точно как работает Binance, но зачем быть впереди всех в очереди? Нельзя поставить «продам по миллиону», а потом купить с хакнутого аккаунта? Что произойдёт?

            Те кто передо мной в стакане - ну пусть заберут свои копейки. Я сомневаюсь, что полный стакан для условного IdiotCoin содержит заявок на $200K.


            1. Billar Автор
              25.08.2021 16:14

              Я тоже сомневаюсь, обычно там заявки на 5-10млн$.


          1. Daemon_Hell
            29.08.2021 12:07

            Далеко ходить не нужно - прямо сейчас в TRU/RUB есть спред в 1.3% (40,16/39.61). И это не какое то мгновенное значение, состояние стабильное.

            Соответственно можно получать (1.3 - комиссия)% за одну итерацию. Никто же не говорит что вся операция произойдет за один шаг. Просто каждый цикл покупки/продажи счет пострадавшего будет уменьшаться, а злоумышленника увеличиваться.


  1. ktod
    24.08.2021 07:50
    +1

    Да, это серьезный просчет в логике защиты у Бининса.

    Но, за годы в этой теме я навидался всякого и имею мнение, что сама история выдумка.


    1. Billar Автор
      24.08.2021 07:56

      Видел транзакции у пострадавшего. К сожалению не выдумка.


    1. AlexTheCleaner
      24.08.2021 09:03
      +1

      Тоже усомнился, но таки да - работает.


    1. bakenti23
      25.08.2021 18:40

      Набери в ютубе КРИПТОАНТОН.это у него аккаунт взломали и купили 2 NFT картины за 200к$


  1. pdk10
    24.08.2021 09:18
    +4

    человек сам поставил троян, через удаленный доступ во время жизни активной сессии выводили, какие тут претензии к бинансу, 2фа вообще не обязанность компаний защищать кабинеты пользователей, бинанс шифрует трафик и содержит данные в безопасности, все остальное это обход защиты и уголовка по всем законодательствам стран мира


    1. Billar Автор
      24.08.2021 09:24
      +1

      Включенный 2FA подразумевает что для перевода или вывода средств должно быть подтверждение, которого в данном случае попросту нету. Это просчёт политики безопасности самой биржи.


      1. pdk10
        24.08.2021 09:35
        +1

        ну так а где тут вывод тут обмен, однового актива на другой, торговля, нфт, какая бы она не была


        1. pdk10
          24.08.2021 09:38

          бинанс тут чист, но я не читал их политику


          1. Billar Автор
            24.08.2021 10:25
            +1

            Ладно, обьясню иначе: представь свой банковский кабинет. За перевод средств с тебя спрашивают код. И представь что появляется в твоем банке магазин nft-картинок который ты даже не открывал и не знаешь что оно такое и как работает. (А ведь ни я, ни этот блогер этот раздел на бине даже не смотрели до этой истории. В мобильных приложениях его попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс).

            Ты не знаешь ни что там, ни зачем оно надо. Ты просто пропустил эту инновацию и не в курсе как она функционирует. Ты знаешь, что у бинанса на аккаунте есть разные счета: спотовый, фьючерсный и несколько остальных, один из которых "p2p" средства с которого можно выслать напрямую другому пользователю только с подтверждением. Мало того, между этими счетами нужно специально переводить деньги с одного раздела на другой. И так, ты не используя нфт маркет просто не подозревал о том, что кто угодно может сделать картинку ценой в весь твой баланс и без всяких подтверждений купить это заполучив просто напросто твою сессию. Повторюсь: купить нфт - это тоже самое что просто перевести другому пользователю деньги. И для этого бинанс не создал даже отдельный внутренний кошелек, средства на который по логике безопасности должны были бы переводится с обычных счетов через 2фа. Потому-что повторяюсь: нфт маркет позволяет ставить любую цену и получать оплату в полном размере.

            Сечешь суть проблемы? У тебя не спросили нужен ли тебе этот нфт маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от небдительности. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.

            Поймать троян можно множеством спобосов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут тебя заразить через браузер просто при пассивном посещении любого сайта. Тебя могут заразить склейкой или используя уязвимости в твоей системе и ты попросту здесь не виноват. Ты просто был подключен к интернету и мог не выполнять никаких действий. Твои пароли могут украсть расширения из официального магазина браузера. Потому ты рассчитываешь на то, что главные действия с деньгами будут требовать подтверждения 2фа даже если тебя взломают. И биржа получает с тебя комиссионные за каждую твою сделку. Она работает не на "добром слове", а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?


            1. pdk10
              24.08.2021 10:30
              -1

              я расписал как по закону ситуация выглядит, бинанс чист, все остальное это домыслы и фантазии


              1. Billar Автор
                24.08.2021 12:47
                +1

                По закону рф их можно обвинить в "неосновательном обогащении". И обязательная верификация введённая на момент взлома ставит их по этому закону в проигрышное в суде положение. Юристы поймут. А по данному закону и с учётом верифа получатель денег обязательно должен быть определён. Либо суд может наложить запрет на работу биржи в стране и ей придется выбирать: прийти в суд или лишиться здешней аудитории.


                1. DrySpy
                  24.08.2021 17:29

                  А вот и нет, а вот и нельзя. Даже пояснять этот бред лень, юристы поймут.


                  1. Billar Автор
                    24.08.2021 17:33

                    Вот об применении из статьи в рбк:

                    Потерять криптовалюту можно также пользуясь услугами криптообменников. Есть риск, что трейдер укажет неверный адрес при переводе средств или же сервис присвоит себе активы клиента. Во втором случае вернуть деньги поможет закон, уверен Лялин. Однако для этого необходимо установить лицо, которому были перечислены средства.

                    «Криптообменники — это организации, оказывающие определенные услуги на условиях, установленных соответствующей офертой. В случае, если криптообменник не исполняет свои обязательства, то можно говорить о нарушении договора или о неосновательном обогащении. Если есть возможность установить получателя денежных средств или криптовалюты, то есть шансы для взыскания денежных средств в судебном порядке или в порядке возмещения ущерба в рамках уголовного дела», — объяснил юрист Лялин.

                    Казанцев добавил, что в этом случае, как и в ситуации с биржей, возможность возврата средств зависит от множества факторов. Например, оформлен ли обменник юридически, есть ли какие-то, хотя бы электронные, документы, реально ли установить ответственных лиц, есть ли у них имущество, на которое можно обратить взыскание и тому подобное.

                    Эксперт отметил, что теоретически вернуть средства можно и в первом случае — при ошибочном переводе средств на неверный адрес. Правовые механизмы для таких инцидентов предусмотрены в большинстве юрисдикций, в России это называется нормами о неосновательном обогащении.

                    «Основная сложность будет состоять в установлении ответственного лица. Если неизвестно, кому принадлежит кошелек — не к кому будет предъявлять претензии. Но, если владелец криптокошелька, который ошибочно получил средства, сам себя раскроет (в другом судебном процессе, например), то тогда шансы вернуть стоимость переведенной криптовалюты существуют. Для этого нужно обратиться с иском о возврате неосновательного обогащения к владельцу соответствующего кошелька», — рассказал Казанцев.


                    1. DrySpy
                      25.08.2021 11:55

                      Даже на убогих меил ру ответах больше смысла, чем в этом бреде, не позорьтесь.
                      «Эксперт отметил, что теоретически вернуть средства можно и в первом случае — при ошибочном переводе средств на неверный адрес. »
                      А это уже чисто технически вопиющий бред.


                      1. Billar Автор
                        25.08.2021 18:42

                        Чисто технически вопиющий бред не понимать своё законодательство и позволять бирже кормить вас любыми фекалиями.


                      1. DrySpy
                        26.08.2021 09:36

                        Сказочный… :)))


  1. st_kapustin
    24.08.2021 10:00
    +1

    Binance - жулики. Поэтому не вернут. Может быть даже сами и украли. Я пробовал там торговать скриптом через api и вскоре заметил интересную вещь - время от времени они начинают выдавать через api всякий мусор. У меня мусор был вместо данных о балансе. Длилось это по полчаса в день, но за это время скрипт уходил в минус. Пришлось оттуда уйти.


    1. FreeNickname
      24.08.2021 10:17

      А куда ушли, если не секрет?


    1. Daemon_Hell
      24.08.2021 11:02
      +1

      А можно поподробнее про мусор? Из моих наблюдений наоборот у бинанса с апи все хорошо. А вот на каком нибудь хуоби стабильно можно попасть в моменты, когда позиция отсутствует (а на самом деле есть)


      1. numitus2
        24.08.2021 11:10

        Я полагаю человек про ситуацию, когда он обновляет баланс, а ему выводит старый, не актуальный баланс. Для таких ситуаций лучше смотреть поле. UpdateTime и юзать вебсокеты


  1. pdk10
    24.08.2021 10:10

    это может быть и инсценировка взлома, просто шумиху поднять и давить на репутацию компании, уже были статьи как человек сам из одной локальной сети айпи писал про взлом, а на скриншотах даже не удосужился замаскировать сей факт, в чате переписка на русском шла, следы могли остаться пусть органы ищут, запросят телеграм и бинанс, если правда


    1. hollycon
      24.08.2021 14:58
      +1

      это может и инсценировка самого трейдера: поднять вокруг себя шумиху, заодно увеличить подписчиков, организовать сбор денег для помощи. в этом мире может быть всё.

      сама фраза "рекомендуем подписаться на канал" - уже вызывает отвращение. уже никуда без подписки, всем нужны мои лайки и подписки.


  1. hecategram
    24.08.2021 12:00
    +3

    Еще со времен вебмани народ должен знать простую истину. Заходим в финансовые инструменты только с чистого устройства.

    А то на одном ноутбуке и крипто биржи, и почта через веб клиент с включенным режимом запомнить клиента, и порнушка. Самое главное забыл, еще нужно левые ссылки по кликать из почты. И всякие гиковские проги поставить со сайтов файло помоек.


  1. amarao
    24.08.2021 12:20
    -2

    Я вас не понимаю. Вы работаете с распределёнными криптовалютами ...на централизованной бирже? Серьёзно? uniswap ваше всё. Никаких двухфакторых авторизаций. Смарт-контракт, чистый DiFi, полный контроль за происходящим, и без всяких NFT-котиков.


    1. Billar Автор
      24.08.2021 14:35

      На унисвапе нет фьючерсов.


      1. amarao
        24.08.2021 15:13

        Это, кстати, интересно. Что мешает иметь такой контракт?


  1. Vel69
    24.08.2021 12:55

    Вот честно, а зачем хранить такие суммы на самой бирже? Сделать холодный кошелек (метамаск с трезором) в Binance Smart Chain - не комильфо? Комиссии совсем копеечные внутри их блокчейна.


    1. darthmaul
      24.08.2021 13:43

      Так он же трейдер как мы поняли. Зачем держать капитал замороженным, он в обороте должен быть.


      1. Vel69
        24.08.2021 14:00

        Ну вот и "обернул"...

        Собственно вывод токенов с кошелька в BSC занял у меня порядка 2 минут и какую то смешную сумму в BNB (20 или 30 центов кажется в переводе, правда курс BNB когда был пониже), когда я тестил настройки. Из них полминуты на возню с трезором (пин код забыл и на бумажке искал).


  1. ustas33
    25.08.2021 20:09

    Лучше выделить отдельный физический ноут с Ubuntu или ChromeOS для работы с финансами, криптой и DeFi.
    Ledger тоже тоже обманывают. Можно почитать, как увели деньги с Metamask у основателя Nexus Mutual.
    И лучше смотреть в сторону DEX с производными.
    https://trade.dydx.exchange
    https://perp.exchange/

    P.S. возможно кто то анализирует "futures funding rates" на биржах?
    Тыкните плиз в готовые скрипты или библиотеки.


  1. alex_plet
    27.08.2021 13:01

    Хотелось бы поподробнее про сам взлом. Не спец по безопасности, но хотелось бы разобраться. Заходили в украденный аккаунт все-таки с компьютера жертвы через ремоут или же украли куки, как-то достали айди сессии (насколько это вообще возможно?) и выполнили сессию у себя? Просто если каким-то образом вытащили айди сессии, то это конечно гигантская уязвимость самого бинанса ну и это скандал, так сказать.

    К слову, не вижу ничего зазорного хранить деньги на биржах. Из онлайн банка никто не выводит деньги под матрац? А со стоковыми биржами как предложите поступать - тоже стрем хранить наверное все свои акции под централизованным аккаунтом? Для меня сейчас бинанс с двойной аутентификацией ничем не отличается от моего-онлайн банка. Ну ок, с НФТ маркетом конечно лажа и видимо тут надо править, но в остальном - не напрягает. Если же кто-то получил ремоут-доступ (мне казалось чтобы такое провернуть сегодня, надо сильно постараться), тут неважно, бинанс, дойче банк, стоковые акции - уведут все с незакрытого сайта.

    Лично для меня холодные кошельки на данный момент гораздо опаснее, особенно новичкам, как мне - за полгода я под своим метамаск кошельком куда только не совался, от ДАО платформ, то мутных бриджей. Вот где можно проглядеть и отдать доступ индийским скаммерам.


    1. Daemon_Hell
      29.08.2021 12:16

      При хранении средств на криптобирже/банке/бирже ключевой риск это не взлом "последней мили", а риск самого контрагента.

      Если обанкротится банк - есть защита от АСВ, FDIC и прочих.

      Если обанкротился брокер, а у вас были бумаги - они отделены и деньги вам вернут (правда в случае если брокеру было запрещено делать РЕПО с вашими бумагами)

      А вот в случае банкротства криптобиржи никто никому ничего не должен


  1. Hocok_B_KapMaHe
    28.08.2021 16:49
    +1

    Народ все никак не может привыкнуть к тому что "не твои ключи - не твоя крипта".

    И бинанс соскамиться, рано или поздно. Дело времени


    1. fanex
      09.09.2021 11:17

      Если чувак устанвоил себе троянчик, то возможна ситуация "твои ключи - уже не твои ключи"


      1. Daemon_Hell
        12.09.2021 17:49

        От таких ситуаций защищают устройства с неизвлекаемыми ключами