Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что мыслей о своей безопасности не возникает: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. Речь идёт о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной крипто бирже Binance. Первые реакция и мысли от жертвы можете увидеть здесь.
С применением социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого можно скачать отсюда, а оригинальный файл которым осуществлялось заражение здесь. Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.
16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через loader первичного вируса успешный и незаметный вход на саму биржу.
Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA-подтверждений через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (графика) и как выяснилось на многих хакерских форумах почти сразу начали появляться предложения о "выводе" денег с балансов через данную уязвимость. В Google просто введя фразу "обход 2FA Binance" можно встретить действительно огромный выбор исполнителей.
Сам взлом как и кража средств была проведена очень простым и ироничным способом: хакер разместил NFT по цене 193000$ и просто купил его с аккаунта жертвы у самого себя. Для этого на бирже нет абсолютно никаких ограничений, подтверждений и попросту механизмов защиты. Далее по словам BInance деньги были выведены с биржи, а сам аккаунт как они предполагают был "взломан". Сразу же возникает вопрос как хакер обходил на чужом аккаунте всё те-же двухфакторные авторизации. Может аккаунты оформлены на поддельные документы и биржа не желает признать что её "верификация" не более чем "пук в муку"?
По некоторым данным доход биржи за год составил 200 млрд $ и как я считаю они не имеют права на такие глупые ошибки в своей политике безопасности. Ведь решение просто лежит на поверхности:
Для NFT должен быть отдельный счет, перевод средств на который только через 2FA (и за отсутствие данного решения бирже и их специалистам по безопасности по моему мнению должно быть стыдно)
Если обнаруживается 2 одинаковые активные сессии - последняя должна сбрасываться, а на первой должно появится уведомление об этом.
PIN для авторизации с новых IP на WEB-интерфейсе. Даже для активной сессии.
Моё мнение: Binance обязаны компенсировать все украденные деньги по простой причине: это не вина пользователя. И они в таких случаях обязались возвращать средства. Да, пользователь подхватил вирус, но, пользователь был уверен что вывод без 2FA не возможен. Это именно дыра в их безопасности. Потому Binance обязаны извинится за долгое отсутствие реакции, а так-же немедленно исправить данную уязвимость пересмотрев те дыры услуги по которым предоставляют все кому не лень. Для биржи с такими доходами не должно быть проблемой просто взять и "воспользоваться" услугами этих хакеров, обнаружить проблемы и исправить. Это говорит о многом.
Доверяйте, но проверяйте. Но если Вы далеки от этих дел и Вам не понятна суть проблемы:
Представьте свой банковский кабинет. За перевод средств с Вас спрашивают код. Вы защищёны ровно до того момента как не появится в банке магазин nft-картинок который Вы даже не открывали и не знаете что оно такое и как работает. В мобильных приложениях данного раздела попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс.
Вы не знаете ни что там, ни зачем оно надо. Вы просто пропустили эту инновацию и не знаете как она функционирует. Вы знаете что у биржи на аккаунте есть разные счета: спотовый, фьючерсный и несколько остальных один из которых "p2p" средства с которого можно выслать напрямую другому пользователю только с подтверждением. Мало того, между этими счетами нужно специально переводить деньги с одного раздела на другой. И так, Вы не используя nft маркет просто не подозреваете о том, что кто угодно может сделать картинку ценой в весь Ваш баланс и без всяких подтверждений купить это заполучив Вашу сессию. Повторюсь: купить nft - это тоже самое что просто перевести другому пользователю деньги. И для этого бинанс не создал даже отдельный внутренний кошелек, средства на который по логике безопасности должны были бы переводится с обычных счетов через 2fa. Потому-что повторяюсь: nft маркет позволяет ставить любую цену и получать оплату в полном размере.
У Вас не спросили нужен ли Вам этот маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от плохой проработки аспекта безопасности нововведения. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.
Поймать троян можно множеством способов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут Вас заразить через браузер просто при пассивном посещении любого сайта. Вас могут протроянить склейкой с полезным файлом или используя уязвимости в системе и Вы попросту здесь не виноваты. Вы просто были подключены к интернету и не выполняли никаких действий. Ваши пароли могут украсть расширения из официального магазина браузера. Потому Вы рассчитываете на то, что главные действия с деньгами будут требовать подтверждения 2fa даже если Вас взломают. И биржа получает с Вас комиссионные за каждую сделку. Она работает не на "добром слове", а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?
Комментарии (50)
Daemon_Hell
24.08.2021 06:10-2Двоякая ситуация. А что если бы деньги слили в "обычный рынок"? Для хакера это вышло бы дороже, но гулять так гулять.
Не делать же после этого авторизацию для каждой заявки?
Billar Автор
24.08.2021 06:22+1На спотовом и фьючерсном рынке хакер бы не смог получить эти средства никоим образом. Он мог бы их просто слить совершая не выгодные сделки.
Но вы меня подтолкнули к мысли, что должен быть счет на бинансе, средства с которого можно переводить только через авторизацию. Аналогия на холодный кошелек, только внутри самой биржи.
DGN
24.08.2021 08:39+8Много раз говорено, биржа это не кошелек. Не ваш карман. Сколько еще бирж должно соскамиться и сколько аккаунтов взломано?
DrySpy
24.08.2021 14:05+1хомякам какой смысл это объяснять? Им нужна дыра в которую спускать заимствованные средства :)
Billar Автор
24.08.2021 14:07+3А где торговать фьючерсами?
ustas33
25.08.2021 20:03На DEX )
https://trade.dydx.exchange
https://perp.exchange/
К сожалению они пока не Eht, жду когда переедут на более дешевые блокчейны.
uncia
26.08.2021 00:24Не все валюты поддерживаются холодными кошельками, а горячий кошелек ничем не лучше биржи. Про транзакции туда-сюда тоже стоит помнить.
Daemon_Hell
24.08.2021 09:11+1При определенной сноровке - можно вполне получить слитые деньги. Все что нужно - инструмент с достаточно широким спредом. Злоумышленник ставит заявки по краям спреда, а со счета пострадавшего бьет в них. Повторяется до тех пор пока все деньги не перекочуют к злоумышленнику (минус комиссия биржи)
Billar Автор
24.08.2021 11:36+1Для этого хакер должен купить этот актив на ту сумму которую собирается украсть (ибо он же должен что-то в твоем варианте продавать) и если ему повезет, что на популярной бирже он в стакане будет один (не возможно, на каждой монете по сотне ботов и твои лимитки будут стоять в очереди после них), то он сможет снять прибыль лишь в пределах спреда. Допустим купил за доллар, а продает за два. Ситуация и методика к счастью попросту не возможная к выполнению. Хотел бы ч посмотреть как ты вкинешь на левый аккаунт своих 200к, найдешь такой спред, пустой стакан и проявишь всемогущую сноровку.
tmaxx
24.08.2021 16:07+1Не знаю точно как работает Binance, но зачем быть впереди всех в очереди? Нельзя поставить «продам по миллиону», а потом купить с хакнутого аккаунта? Что произойдёт?
Те кто передо мной в стакане - ну пусть заберут свои копейки. Я сомневаюсь, что полный стакан для условного IdiotCoin содержит заявок на $200K.
Daemon_Hell
29.08.2021 12:07Далеко ходить не нужно - прямо сейчас в TRU/RUB есть спред в 1.3% (40,16/39.61). И это не какое то мгновенное значение, состояние стабильное.
Соответственно можно получать (1.3 - комиссия)% за одну итерацию. Никто же не говорит что вся операция произойдет за один шаг. Просто каждый цикл покупки/продажи счет пострадавшего будет уменьшаться, а злоумышленника увеличиваться.
pdk10
24.08.2021 09:18+4человек сам поставил троян, через удаленный доступ во время жизни активной сессии выводили, какие тут претензии к бинансу, 2фа вообще не обязанность компаний защищать кабинеты пользователей, бинанс шифрует трафик и содержит данные в безопасности, все остальное это обход защиты и уголовка по всем законодательствам стран мира
Billar Автор
24.08.2021 09:24+1Включенный 2FA подразумевает что для перевода или вывода средств должно быть подтверждение, которого в данном случае попросту нету. Это просчёт политики безопасности самой биржи.
pdk10
24.08.2021 09:35+1ну так а где тут вывод тут обмен, однового актива на другой, торговля, нфт, какая бы она не была
pdk10
24.08.2021 09:38бинанс тут чист, но я не читал их политику
Billar Автор
24.08.2021 10:25+1Ладно, обьясню иначе: представь свой банковский кабинет. За перевод средств с тебя спрашивают код. И представь что появляется в твоем банке магазин nft-картинок который ты даже не открывал и не знаешь что оно такое и как работает. (А ведь ни я, ни этот блогер этот раздел на бине даже не смотрели до этой истории. В мобильных приложениях его попросту даже и нет, потому открыть и воспользоваться им можно только через веб интерфейс).
Ты не знаешь ни что там, ни зачем оно надо. Ты просто пропустил эту инновацию и не в курсе как она функционирует. Ты знаешь, что у бинанса на аккаунте есть разные счета: спотовый, фьючерсный и несколько остальных, один из которых "p2p" средства с которого можно выслать напрямую другому пользователю только с подтверждением. Мало того, между этими счетами нужно специально переводить деньги с одного раздела на другой. И так, ты не используя нфт маркет просто не подозревал о том, что кто угодно может сделать картинку ценой в весь твой баланс и без всяких подтверждений купить это заполучив просто напросто твою сессию. Повторюсь: купить нфт - это тоже самое что просто перевести другому пользователю деньги. И для этого бинанс не создал даже отдельный внутренний кошелек, средства на который по логике безопасности должны были бы переводится с обычных счетов через 2фа. Потому-что повторяюсь: нфт маркет позволяет ставить любую цену и получать оплату в полном размере.
Сечешь суть проблемы? У тебя не спросили нужен ли тебе этот нфт маркет, не попросили никакой подтверждающей активации данного раздела при первом посещении, не спросили подтверждения на перевод средств на этот маркет и не выявили подозрительным внезапную продажу всех активов на спотовом рынке за доллары и покупку картинки на впервые открытом разделе биржи. Это максимально наплевательское отношение и искусственно созданная дыра от небдительности. Разве пользователь обязан изучать биржу каждые 5 минут на предмет обновлений, быть специалистом по безопасности чтобы выявлять дыру в логике работы нововведений? Я считаю нет. Одно дело когда взламывают и сливают деньги со всей биржи. Другое, когда биржа без спроса пользователя создает возможность обойти двойную авторизацию на которую рассчитывает пользователь.
Поймать троян можно множеством спобосов: начиная от личной невнимательности, заканчивая тем, что сплоиты могут тебя заразить через браузер просто при пассивном посещении любого сайта. Тебя могут заразить склейкой или используя уязвимости в твоей системе и ты попросту здесь не виноват. Ты просто был подключен к интернету и мог не выполнять никаких действий. Твои пароли могут украсть расширения из официального магазина браузера. Потому ты рассчитываешь на то, что главные действия с деньгами будут требовать подтверждения 2фа даже если тебя взломают. И биржа получает с тебя комиссионные за каждую твою сделку. Она работает не на "добром слове", а значит беря деньги, должна их защищать. Может я чего-то не понимаю о справедливости?
pdk10
24.08.2021 10:30-1я расписал как по закону ситуация выглядит, бинанс чист, все остальное это домыслы и фантазии
Billar Автор
24.08.2021 12:47+1По закону рф их можно обвинить в "неосновательном обогащении". И обязательная верификация введённая на момент взлома ставит их по этому закону в проигрышное в суде положение. Юристы поймут. А по данному закону и с учётом верифа получатель денег обязательно должен быть определён. Либо суд может наложить запрет на работу биржи в стране и ей придется выбирать: прийти в суд или лишиться здешней аудитории.
DrySpy
24.08.2021 17:29А вот и нет, а вот и нельзя. Даже пояснять этот бред лень, юристы поймут.
Billar Автор
24.08.2021 17:33Вот об применении из статьи в рбк:
Потерять криптовалюту можно также пользуясь услугами криптообменников. Есть риск, что трейдер укажет неверный адрес при переводе средств или же сервис присвоит себе активы клиента. Во втором случае вернуть деньги поможет закон, уверен Лялин. Однако для этого необходимо установить лицо, которому были перечислены средства.
«Криптообменники — это организации, оказывающие определенные услуги на условиях, установленных соответствующей офертой. В случае, если криптообменник не исполняет свои обязательства, то можно говорить о нарушении договора или о неосновательном обогащении. Если есть возможность установить получателя денежных средств или криптовалюты, то есть шансы для взыскания денежных средств в судебном порядке или в порядке возмещения ущерба в рамках уголовного дела», — объяснил юрист Лялин.
Казанцев добавил, что в этом случае, как и в ситуации с биржей, возможность возврата средств зависит от множества факторов. Например, оформлен ли обменник юридически, есть ли какие-то, хотя бы электронные, документы, реально ли установить ответственных лиц, есть ли у них имущество, на которое можно обратить взыскание и тому подобное.
Эксперт отметил, что теоретически вернуть средства можно и в первом случае — при ошибочном переводе средств на неверный адрес. Правовые механизмы для таких инцидентов предусмотрены в большинстве юрисдикций, в России это называется нормами о неосновательном обогащении.
«Основная сложность будет состоять в установлении ответственного лица. Если неизвестно, кому принадлежит кошелек — не к кому будет предъявлять претензии. Но, если владелец криптокошелька, который ошибочно получил средства, сам себя раскроет (в другом судебном процессе, например), то тогда шансы вернуть стоимость переведенной криптовалюты существуют. Для этого нужно обратиться с иском о возврате неосновательного обогащения к владельцу соответствующего кошелька», — рассказал Казанцев.
DrySpy
25.08.2021 11:55Даже на убогих меил ру ответах больше смысла, чем в этом бреде, не позорьтесь.
«Эксперт отметил, что теоретически вернуть средства можно и в первом случае — при ошибочном переводе средств на неверный адрес. »
А это уже чисто технически вопиющий бред.Billar Автор
25.08.2021 18:42Чисто технически вопиющий бред не понимать своё законодательство и позволять бирже кормить вас любыми фекалиями.
st_kapustin
24.08.2021 10:00+1Binance - жулики. Поэтому не вернут. Может быть даже сами и украли. Я пробовал там торговать скриптом через api и вскоре заметил интересную вещь - время от времени они начинают выдавать через api всякий мусор. У меня мусор был вместо данных о балансе. Длилось это по полчаса в день, но за это время скрипт уходил в минус. Пришлось оттуда уйти.
Daemon_Hell
24.08.2021 11:02+1А можно поподробнее про мусор? Из моих наблюдений наоборот у бинанса с апи все хорошо. А вот на каком нибудь хуоби стабильно можно попасть в моменты, когда позиция отсутствует (а на самом деле есть)
numitus2
24.08.2021 11:10Я полагаю человек про ситуацию, когда он обновляет баланс, а ему выводит старый, не актуальный баланс. Для таких ситуаций лучше смотреть поле. UpdateTime и юзать вебсокеты
pdk10
24.08.2021 10:10это может быть и инсценировка взлома, просто шумиху поднять и давить на репутацию компании, уже были статьи как человек сам из одной локальной сети айпи писал про взлом, а на скриншотах даже не удосужился замаскировать сей факт, в чате переписка на русском шла, следы могли остаться пусть органы ищут, запросят телеграм и бинанс, если правда
hollycon
24.08.2021 14:58+1это может и инсценировка самого трейдера: поднять вокруг себя шумиху, заодно увеличить подписчиков, организовать сбор денег для помощи. в этом мире может быть всё.
сама фраза "рекомендуем подписаться на канал" - уже вызывает отвращение. уже никуда без подписки, всем нужны мои лайки и подписки.
hecategram
24.08.2021 12:00+3Еще со времен вебмани народ должен знать простую истину. Заходим в финансовые инструменты только с чистого устройства.
А то на одном ноутбуке и крипто биржи, и почта через веб клиент с включенным режимом запомнить клиента, и порнушка. Самое главное забыл, еще нужно левые ссылки по кликать из почты. И всякие гиковские проги поставить со сайтов файло помоек.
amarao
24.08.2021 12:20-2Я вас не понимаю. Вы работаете с распределёнными криптовалютами ...на централизованной бирже? Серьёзно? uniswap ваше всё. Никаких двухфакторых авторизаций. Смарт-контракт, чистый DiFi, полный контроль за происходящим, и без всяких NFT-котиков.
Vel69
24.08.2021 12:55Вот честно, а зачем хранить такие суммы на самой бирже? Сделать холодный кошелек (метамаск с трезором) в Binance Smart Chain - не комильфо? Комиссии совсем копеечные внутри их блокчейна.
darthmaul
24.08.2021 13:43Так он же трейдер как мы поняли. Зачем держать капитал замороженным, он в обороте должен быть.
Vel69
24.08.2021 14:00Ну вот и "обернул"...
Собственно вывод токенов с кошелька в BSC занял у меня порядка 2 минут и какую то смешную сумму в BNB (20 или 30 центов кажется в переводе, правда курс BNB когда был пониже), когда я тестил настройки. Из них полминуты на возню с трезором (пин код забыл и на бумажке искал).
ustas33
25.08.2021 20:09Лучше выделить отдельный физический ноут с Ubuntu или ChromeOS для работы с финансами, криптой и DeFi.
Ledger тоже тоже обманывают. Можно почитать, как увели деньги с Metamask у основателя Nexus Mutual.
И лучше смотреть в сторону DEX с производными.
https://trade.dydx.exchange
https://perp.exchange/P.S. возможно кто то анализирует "futures funding rates" на биржах?
Тыкните плиз в готовые скрипты или библиотеки.
alex_plet
27.08.2021 13:01Хотелось бы поподробнее про сам взлом. Не спец по безопасности, но хотелось бы разобраться. Заходили в украденный аккаунт все-таки с компьютера жертвы через ремоут или же украли куки, как-то достали айди сессии (насколько это вообще возможно?) и выполнили сессию у себя? Просто если каким-то образом вытащили айди сессии, то это конечно гигантская уязвимость самого бинанса ну и это скандал, так сказать.
К слову, не вижу ничего зазорного хранить деньги на биржах. Из онлайн банка никто не выводит деньги под матрац? А со стоковыми биржами как предложите поступать - тоже стрем хранить наверное все свои акции под централизованным аккаунтом? Для меня сейчас бинанс с двойной аутентификацией ничем не отличается от моего-онлайн банка. Ну ок, с НФТ маркетом конечно лажа и видимо тут надо править, но в остальном - не напрягает. Если же кто-то получил ремоут-доступ (мне казалось чтобы такое провернуть сегодня, надо сильно постараться), тут неважно, бинанс, дойче банк, стоковые акции - уведут все с незакрытого сайта.
Лично для меня холодные кошельки на данный момент гораздо опаснее, особенно новичкам, как мне - за полгода я под своим метамаск кошельком куда только не совался, от ДАО платформ, то мутных бриджей. Вот где можно проглядеть и отдать доступ индийским скаммерам.Daemon_Hell
29.08.2021 12:16При хранении средств на криптобирже/банке/бирже ключевой риск это не взлом "последней мили", а риск самого контрагента.
Если обанкротится банк - есть защита от АСВ, FDIC и прочих.
Если обанкротился брокер, а у вас были бумаги - они отделены и деньги вам вернут (правда в случае если брокеру было запрещено делать РЕПО с вашими бумагами)
А вот в случае банкротства криптобиржи никто никому ничего не должен
Hocok_B_KapMaHe
28.08.2021 16:49+1Народ все никак не может привыкнуть к тому что "не твои ключи - не твоя крипта".
И бинанс соскамиться, рано или поздно. Дело времени
fanex
09.09.2021 11:17Если чувак устанвоил себе троянчик, то возможна ситуация "твои ключи - уже не твои ключи"
Billar Автор
И ведь биржи себя мнят как заменители банков, но не способны при этом распознать потенциально опасные действия на аккаунтах пользователей. Лично мой банк множество раз перезванивал для подтверждения того, что операции на моём счете проводятся мной. Просто так, для галочки. Без особых причин. Пока биржи не начнут относится к пользователям и их безопасности с должным вниманием - не быть крипте реальными деньгами.
burzooom
просто прикрепленный к вам ваш сотрудник сбербанка решил подойти к задаче с терпением, с десяток обычных звонков, а на 11тый - "ваши деньги в опасности"
vikarti
Ну — у меня обычно сначала блокировка карты прилетает а уже затем — надо звонить в банк, представлятся, объяснять что делалось и что да это мое и да хочу разблокировать.
При этом могут и спросить — операцию сами делали или как?
На что триггер в данном случае я подозреваю (операции с одинаковыми суммами одна за одной). При этом на то, что за мерчант — автоматике плевать.