Suizvršna direktorica mjenjačnice Binance, Yi He, objavila je danas da joj je hakiran WeChat račun nakon što je netko preuzeo stari mobilni broj povezan s njezinim profilom.
Hakeri su iskoristili pristup za promoviranje tokena "Mubarakah" kroz "pump-and-dump" shemu, zaradivši pritom oko 55.000 dolara prije nego što je sadržaj uklonjen. Račun je u međuvremenu vraćen nakon intervencije sigurnosnih timova Binancea i WeChata, piše CryptoSlate.
Ovaj događaj, koji se zbio samo nekoliko dana nakon promaknuća Yi He, naglašava ranjivost koja pogađa gotovo sve korisnike interneta. Web računi povezani s telefonskim brojevima ostaju izloženi napadima koji ne zahtijevaju proboj u kripto novčanike ili sustave mjenjačnica. Napadači jednostavno iskoriste procese za oporavak računa.
Sličan se scenarij dogodio u siječnju 2024. kada je hakiran X račun američkog SEC-a. Zbog nedostatka dvofaktorske autentifikacije, lažna objava o odobrenju ETF-a nakratko je uzrokovala skok cijene Bitcoina za otprilike 1.000 dolara, pokazujući kako jedna poruka može uzdrmati tržište.
Problem leži u uobičajenoj praksi mobilnih operatera, koji neaktivne telefonske brojeve ponovno puštaju u promet nakon otprilike 90 dana. Ako je stari broj i dalje povezan s nekim online profilom, novi vlasnik broja može primiti SMS kodove za oporavak i tako preuzeti račun. To se vjerojatno dogodilo i u slučaju Yi He.
Dodatnu slabost predstavlja metoda oporavka na WeChatu koja zahtijeva potvrdu putem "čestih kontakata". Napadači mogu iskoristiti ovu opciju slanjem poruka dvama kontaktima kako bi potvrdili identitet, što predstavlja jednostavan put za preuzimanje računa.
Uloga WeChata u kripto krugovima čini ovakve napade posebno opasnima. Aplikacija se često koristi za OTC transakcije i rasprave, pa objava s profila poznate osobe poput direktora Binancea može lako zadobiti povjerenje korisnika i preusmjeriti ih na lažne investicije. Ovaj rizik je znatno veći nego kod nasumičnih spam poruka na drugim platformama.
I sam Binanceov ekosustav iskusio je sličan problem kada je u listopadu ove godine kompromitiran službeni X račun BNB Chaina, što je rezultiralo objavom desetaka phishing linkova i gubitkom od oko 8.000 dolara za korisnike, koji je kasnije nadoknađen.
Neposredni utjecaj na tržište bio je ograničen, a cijena BNB-a ostala je stabilna. Međutim, ekonomska računica za hakere je jasna. Čak i ako samo mali postotak od milijun pratitelja klikne na link i uloži skroman iznos, zarada može doseći desetke tisuća dolara po objavi, što se poklapa s procijenjenih 55.000 dolara u ovom slučaju.
Ovaj incident dio je šireg trenda. Procjenjuje se da je tijekom 2024. godine ukradeno oko 2,2 milijarde dolara u kriptovalutama, s porastom napada na centralizirane usluge. Kao odgovor, regulatori pooštravaju pravila, a Južna Koreja je primjer uvođenja odgovornosti na "bankovnoj razini" za mjenjačnice u slučajevima socijalnog inženjeringa.
Sigurnosni propusti leže u kombinaciji recikliranja SIM kartica i metoda oporavka računa putem društvenih kontakata. Rješenja su dobro poznata: onemogućavanje oporavka računa putem SMS-a, korištenje hardverskih sigurnosnih ključeva te implementacija "kill-switch" politika za nekorištene službene račune.
Platforme poput WeChata također bi mogle uvesti dodatne mjere, kao što je zahtijevanje provjere s nedavno korištenog uređaja prije dopuštanja objava s profila javnih osoba povezanih s recikliranim brojevima.
Iako je račun Yi He vraćen, ostaju otvorena pitanja: jesu li korisnici Binancea pretrpjeli izravne gubitke i hoće li im biti ponuđena kompenzacija. Sada se pozornost usmjerava na to hoće li telekomunikacijski operateri i društvene platforme prilagoditi svoje sigurnosne protokole kako bi spriječili buduće incidente.