Un usuario ha perdido $1 millón de dólares en criptomonedas, que almacenaba en una cuenta de Binance, después de que un hacker lograra tomar el control de dicha cuenta utilizando cookies de la web.
El usuario, identificado en X (antes Twitter) como @CryptoNakamao, reveló que había perdido los ahorros de toda su vida cuando un atacante logró secuestrar las cookies de su web para tomar control de la cuenta de Binance en la que almacenaba sus fondos, sin necesidad de obtener la contraseña ni la autenticación de dos factores (2FA).
Según explicó el usuario, la brecha de seguridad se originó con el plugin Aggr, que permitió al atacante desviar todos los fondos de su cuenta de Binance a través de contra-operaciones.
@CryptoNakamao aseguró que Binance estaba consciente del plugin malicioso y que no advirtió a los usuarios sobre el riesgo de utilizar el mismo. Además declaró que la plataforma había rastreado la dirección del atacante hace al menos 1 mes, después de que su actual CEO, Richard Teng, informara que el equipo de seguridad había iniciado investigaciones para resolver el robo de fondos de un usuario que se notificó el 1 de marzo, y que estaba relacionado con este mismo plugin.
“Binance sabía de los problemas con el hacker y el plug-in, pero no hizo nada ni tomó precauciones durante varias semanas, permitiendo que la promoción continuara, lo que resultó en mayores pérdidas financieras”, aseguró el usuario, que durante años fue leal a la plataforma de exchange.
Críticas al servicio de atención del cliente de Binance
Por otra parte, el usuario aseguró que no se percató de la inusual actividad de su cuenta de Binance, ni del robo de sus fondos en criptomonedas, sino hasta que decidió acceder a su cuenta para comprobar el precio de Bitcoin.
“No me di cuenta de estas operaciones hasta que abrí habitualmente Binance para comprobar el precio de BTC una hora y media más tarde… Durante todo el proceso, no recibí ninguna alerta de seguridad de Binance”, comentó, en su extenso tuit.
Al darse cuenta de las inusuales operaciones que ocurrían en su cuenta de Binance, el usuario intentó ponerse en contacto con el servicio de atención al cliente de la plataforma, indicando que obtuvo una respuesta lenta por parte del mismo, lo que resultó en tiempo suficiente para que el atacante robara todos sus fondos.
@CryptoNakamao señaló que el atacante estuvo ejecutando varias operaciones comerciales durante algunas horas, comprando tokens en el par comercial USDT con abundante liquidez, luego colocando órdenes de venta limitadas que superaban el precio de mercado en los pares comerciales QTUM/BTC, DASH/BTC, PYR/BTC y NEO/USDC, entre otros, con escasa liquidez. El atacante utilizó su cuenta para abrir operaciones apalancadas, comprar grandes cantidades de tokens y completar la contra-operación.
“La respuesta que obtuve de Binance fue que el hacker retiró todos sus fondos de Binance de forma segura”, comentó.
El usuario aseguró que, el día después del hackeo, recibió una invitación de un creador de mercado al contado debido al gran volumen de operaciones de su cuenta. Sin embargo, a pesar de las transacciones extremadamente anormales en múltiples pares comerciales, Binance no aplicó ninguna medida de control de riesgo, no congeló su cuenta ni bloqueó los fondos a tiempo, comentó @CryptoNakamao.
Una respuesta tardía
Binance se tomó un día para notificar a otras plataformas de exchange sobre los fondos en criptomonedas transferidos ilegalmente desde la cuenta de @CryptoNakamao, aseguró el usuario, incluso cuando este se puso en contacto con alguien conocido en la plataforma para tratar de agilizar la respuesta de seguridad.
Finalmente, el usuario decidió ponerse en contacto con una empresa de ciberseguridad, en un intento por rastrear y, posiblemente, congelar los fondos robados.
Aconsejó a los usuarios de criptomonedas no utilizar Aggr ni plugins de Google a sus antojos, como una recomendación para mantener la seguridad de sus criptoactivos, ya que, aunque no existen muchos casos documentados en los que un plugin hayan causado un robo de tal magnitud, indicó que pueden ser tan dañino como descargar una aplicación falsa con código malicioso.
Bit2Me, enfocada en la seguridad de los usuarios
Tras los informes y quejas recientes contra el servicio de atención al cliente de Binance, es importante recordar el compromiso de Bit2Me con los usuarios, de ofrecer una atención exclusiva y de calidad disponible 24/7, que permita a las personas operar sus activos con tranquilidad en la plataforma y con la seguridad de que serán atendidos en todo momento.
La compañía española, certificada por el Banco de España, ha sido distinguida como ‘El Mejor Exchange de Criptomonedas’ en los Rankia Portugal Awards 2024. Además, cuenta con la triple certificación de compliance otorgada por la EQA, Compliance Penal, Antisoborno y Sistema de Gestión de Compliance, reforzando la posición de la compañía como líder en el cumplimiento normativo dentro del ámbito de los criptoactivos. Bit2Me también ha obtenido las certificaciones ISO/IEC 27001 e ISO 22301, en su esfuerzo por mantener altos estándares de seguridad para los usuarios.