Usuários da exchange de criptomoedas Binance estão sendo alertados sobre um possível comprometimento de segurança ligado a um plugin do Google Chrome chamado Aggr, que está relacionado a diversos casos de roubo de fundos de contas de investidores, incluindo um caso específico envolvendo a perda de US$1 milhão por um usuário chinês.
O ataque explorou mecanismos de cross-trading para desviar os fundos. A brecha de segurança parece estar relacionada ao uso de cookies comprometidos, que permitem aos hackers contornar medidas de segurança como senhas e autenticação de dois fatores (2FA), ganhando acesso não autorizado às contas Binance dos usuários.
A exchange de criptomoedas recomenda que seus clientes evitem baixar e usar plugins de terceiros não verificados, principalmente aqueles promovidos por influenciadores.
Em caso de suspeita de atividade fraudulenta ou violação de segurança, os usuários devem reportar imediatamente à equipe de suporte da Binance para que medidas sejam tomadas.
O roubo de US$1 milhão
Identificado como @CryptoNakamao, o chinês que teve sua conta hackeada contou sua história na rede social X.
“No dia 24 de maio, uma sexta-feira comum, eu estava voltando do trabalho para casa. Nesse período, meu computador e meu celular estavam comigo. Nesse momento, minha conta estava negociando loucamente e eu não tinha ideia disso. QTUM/BTC aumentou 21% devido às compras da minha conta, DASH/BTC aumentou 27% devido às compras da minha conta e PYR/BTC aumentou 31%”.
O investidor declarou que essas operações não foram descobertas até que ele abrisse o app da Binance para ver o preço do BTC uma hora e meia depois.
“A empresa de segurança me informou posteriormente que os hackers manipularam minha conta sequestrando meus cookies da web. Eles compraram tokens em pares de negociação com alta liquidez como USDT e venderam ordens limitadas a preços acima do mercado em pares com baixa liquidez como BTC e USDC. Finalmente, abriram negociações de margem na minha conta e compraram em excesso para realizar a lavagem”.
@CryptoNakamao destacou que, durante todo o processo, ele não recebeu nenhum lembrete de segurança da Binance.
“O irônico é que, no dia seguinte, recebi um convite para ser um market maker devido ao grande volume de negociações. Mesmo nessas circunstâncias, quando minha conta foi hackeada, não houve nenhum alerta ou bloqueio, e os ativos dos hackers não sofreram nenhuma restrição. Isso me deixou muito perplexo”.
Logo após perceber que sua conta havia sido roubada, o investidor entrou em contato com o atendimento ao cliente, mas durante o processo o hacker ainda estava operando sua conta.
“Em teoria, os fundos dos hackers ainda deveriam estar na plataforma, mas a resposta da Binance foi que os atacantes retiraram todos os fundos com sucesso. Mais incompreensível ainda é que os hackers usaram apenas uma conta para realizar negociações de lavagem tão óbvias, o que me fez duvidar do controle de risco da Binance”.
Além disso, o entusiasta cripto mandou uma mensagem privada para uma influenciadora no Telegram, que rapidamente enviou seu UID para a equipe de segurança. No entanto, apesar da supervisão da criadora de conteúdo, a equipe da Binance levou mais de um dia para notificar a Kucoin e a Gate para congelar os fundos transferidos pelo atacante.
“Como esperado, os fundos dos hackers já haviam sido transferidos, e o congelamento não tinha mais utilidade”.
@CryptoNakamao argumenta que, durante todo o processo, a resposta da equipe da Binance foi extremamente lenta, sem recuperar nenhuma de suas perdas.
“Sou um usuário leal da Binance e sempre negociei na plataforma, mas isso me deixou extremamente desapontado. Será que realmente queriam ajudar os usuários a recuperar os fundos?”
Detalhes do ataque
Quando percebeu que a tentativa de bloquear os fundos tinha falhado completamente, @CryptoNakamao procurou a ajuda de uma empresa de segurança para tentar identificar os hackers.
“A primeira pergunta que precisava responder era como os hackers operaram minha conta na Binance sem que eu recebesse nenhum aviso de novo login em dispositivo ou de login remoto, com meu computador e celular ao meu lado”.
A empresa de segurança identificou o culpado: um simples plugin do Chrome chamado Aggr. É um plugin de um site de dados de mercado antigo e open-source.
“Eu o baixei para verificar alguns dados depois de vê-lo recomendado por vários influenciadores internacionais e alguns canais do Telegram”.
Com isso em mente, o investidor emite um alerta:
“Lembre-se, plugins de navegador Chrome podem ser tão danosos quanto aplicativos maliciosos. Não baixe ou use plugins do Chrome indiscriminadamente! Para alertar todos, posso citar uma situação extrema: um plugin do Chrome que você usa pode receber uma atualização contendo código malicioso”.
O funcionamento específico do plugin malicioso é o seguinte: se você instalou e usou o plugin, os hackers podem coletar seus cookies e enviá-los para o servidor deles. Com os cookies coletados, os atacantes conseguem sequestrar sessões ativas de usuários, não necessitando de senha ou 2FA para controlar a conta.
“No meu caso, como meus dados estavam salvos no 1Password, os hackers não puderam contornar o 2FA para retirar meus ativos. No entanto, usaram meus cookies para sequestrar minha conta e realizar negociações de lavagem”.
O plot twist
@CryptoNakamao decidiu entrar em contato com o influenciador que promoveu o plugin para verificar se ele era cúmplice dos hackers.
“Se não fosse, ele deveria imediatamente informar todos os seus usuários para parar de usar o plugin e evitar mais perdas. Mas a história que ouvi dele foi ainda mais chocante”.
Aparentemente, a Binance já sabia sobre o plugin e até incentivou o influenciador a obter mais informações dos hackers.
“Eu fui roubado durante a promoção desse plugin. A Binance já havia identificado o endereço dos hackers pelo menos 3-4 semanas antes e obtido o nome e o link do plugin com o influenciador. Mesmo assim, ela não notificou a suspensão do produto imediatamente, provavelmente para continuar rastreando os hackers sem alertá-los, e acabei me tornando uma vítima”.
@CryptoNakamao lembrou que em 1º de março deste ano, o roubo da conta Binance de um membro da comunidade internacional também foi devido a este plugin. Na época, o CEO da exchange, Richard Teng, respondeu que a equipe de segurança da empresa estava investigando ativamente para encontrar a causa raiz do problema.
“Por isso, não posso acreditar que a equipe da Binance ainda não tenha identificado o problema do plugin após quase três meses”.
Resumindo a cronologia
- A Binance sabia dos problemas dos hackers e do plugin por semanas e não agiu, permitindo que a promoção continuasse, ampliando as perdas.
- A Binance não agiu mesmo sabendo dos frequentes roubos e lavagens.
- Os hackers manipularam a conta por mais de uma hora, causando transações anormais em vários pares de criptomoedas sem qualquer controle de risco.
- A Binance não congelou os fundos de lavagem do hacker de forma oportuna.
- Demorou mais de um dia para a Binance contatar as plataformas relevantes para congelar os fundos, perdendo a oportunidade ideal.
“Tenho grande respeito pela influenciadora e pelo CZ. De fato, a influenciadora respondeu rapidamente e me ajudou, e sou grato a ela por isso. Esta deveria ter sido uma história sobre a Binance ajudando um usuário a recuperar fundos roubados por hackers, e eu deveria estar escrevendo uma carta de agradecimento ao pessoal da Binance. Mas a realidade é que a equipe da empresa decepcionou completamente minhas expectativas”.
@CryptoNakamao finaliza dizendo que sempre leu artigos da Binance destacando sua segurança, e os relatórios anuais da empresa sempre enfatizam esse aspecto, o que lhe deu muita confiança na plataforma.
“Mantive uma grande quantidade de fundos na Binance em forma de stablecoins por causa dessa confiança, mas a série de ações da Binance diante do risco me deixou desiludido. Não consigo mais acreditar nas palavras bonitas e nos números grandiosos. Escrevi esta história porque me sinto perdido e desamparado após o roubo”.
