구글 크롬 확장 프로그램 Aggr를 통해 쿠키 로그인 정보가 저장되어 계정이 해킹된 것으로 알려졌다.
3일(현지시간) 코인텔레그래프에 따르면 바이낸스의 공동 창립자인 이 허(Yi He)는 한 사용자의 계정에서 100만 달러 상당의 암호화폐가 손실된 사건에 대해 플랫폼 보안 침해로 인한 책임을 부인했다고 전했다. 이 허는 6월 3일 다음과 같이 작성했다:
"이 사용자의 계정은 자신의 컴퓨터가 해킹되었기 때문에 침해되었다. 해킹 후 해커는 자금을 인출할 수 없어서 피해자의 코인을 팔아 거래 손실을 초래했다."
같은 날, 암호화폐 트레이더 나카마오(Nakamao)는 바이낸스 계정 비밀번호나 2단계 인증 정보를 얻지 않고 "역거래(counter-trading)"를 통해 계정 잔고 전체를 잃었다고 주장했다.
나카마오는 "보안 회사는 해커가 내 웹 쿠키를 인질로 잡고 계정을 조작했다고 설명했다"며, 해킹 후 해커가 "USDT 거래 페어에서 유동성이 풍부한 토큰을 사고, BTC, USDC 및 기타 유동성이 희박한 거래 페어에서 시장 가격을 초과하는 제한 판매 주문을 걸었다"고 설명했다.
그 후 해커는 상대방에게 레버리지 베팅을 다수 걸었고, 거래가 잘못되면서 약 100만 달러의 손실을 입었다. 나카마오는 "이 과정에서 바이낸스로부터 어떠한 보안 경고도 받지 못했다"고 주장했다.
바이낸스의 고객 서비스는 이번 사건에서 "해커가 플러그인을 통해 계정 로그인 상태를 훔쳐서 사용자를 가장하여 거래를 수행했다"고 응답했다.
거래소에 따르면, 나카마오의 계정 동결 요청을 받은 후 "1분 19초" 내에 처리되었다고 한다. 그러나 그때까지 해커는 이미 여러 레버리지 거래를 완료한 상태였다:
"우리는 당신의 경험에 공감하지만, 지금까지 알게 된 정보에 따르면 자산 손실의 원인은 관련 장치가 악성 플러그인 설치로 인해 조작된 것이다. 불행히도 바이낸스와 관련이 없는 이러한 경우에 대해서는 보상할 수 없다."
나카마오는 이에 동의하지 않으며, "바이낸스는 이 플러그인의 존재를 오래전부터 알고 있었고, 해커로부터 더 많은 정보를 얻기 위해 KOL(핵심 의견 리더)을 장려했다. 내 계정은 이 플러그인이 더 많이 홍보될 때 도난당했다"고 주장했다. 바이낸스는 적어도 3~4주 전에 해커의 주소를 추적하고 플러그인의 이름과 링크를 KOL로부터 얻었다고 밝혔다.
이 허는 사용자가 로그인할 때마다 비밀번호를 입력해야 하는 번거로움을 줄이기 위해 쿠키 플러그인을 사용하는 위험에 대해 경고했다: "바이낸스는 로그인 장치가 침해된 경우 사용자에게 보상할 수 없다"고 밝혔다.
전직 중국 TV 호스트인 이 허는 세계 최대 암호화폐 거래소의 두 여성 경영자 중 한 명이며, 다른 한 명은 비트겟(Bitget)의 CEO인 그레이시 첸(Gracy Chen)이다. 4월, 이 허는 남편이자 바이낸스의 공동 창립자 및 전 CEO인 창펑 자오가 미국에서 자금 세탁 혐의로 최적의 결과를 받았다고 밝혔다.
원문 출처: https://www.tokenpost.kr/article-180910