中国のトレーダーが、プロモーション用グーグル・クロームのプラグイン「Aggr」を使用したハッキング詐欺で100万ドルを失った。このプロモーションプラグインはユーザーからクッキーを盗み、ハッカーがパスワードと二要素認証(2FA)を回避して被害者のバイナンスアカウントにログインできるようにするものだ。

トレーダーXで、予期しない詐欺により全財産を失った体験を 語った 。Xユーザー名「クリプトナカマオ(CryptoNakamao)」で活動するこのトレーダーによると、5月24日に自身のバイナンスアカウントがランダムに取引を始めたという。同氏はビットコイン(BTC)の価格を確認するためにバイナンスアプリを開いた際に初めてこの事態に気付いたという。

クリプトナカマオ氏がバイナンスに助けを求めた時点で、ハッカーはすでに全ての資金を引き出していた。

クッキーデータを盗んでバイナンスでクロストレード

クリプトナカマオ氏は、ハッカーが「Aggr」というクロームのプラグインを通じ、自身のウェブブラウザのクッキーデータにアクセスしたと主張。トレーダーは有名なトレーダーデータにアクセスするためにこのプラグインをインストールしたが、この悪意のあるソフトウェアはユーザーのウェブブラウジングデータとクッキーを盗むために作られていたようだ。

ハッカーは収集したクッキーを使用して、パスワードや認証なしでアクティブなユーザーセッションを乗っ取り、流動性の低いペアの価格を急騰させて利益を得るために複数のレバレッジ取引を行った。

クリプトナカマオ氏によると、ハッカーが2FAのために直接資金を引き出すことはできなかったが、クッキーとアクティブなログインセッションを使用してクロストレードを通じて利益を上げたという。ハッカーが流動性の豊富なテザー(USDT)の取引ペアでいくつかのトークンを購入し、流動性の乏しいビットコイン、USDコイン(USDC)などの取引ペアで市場価格を超えるリミット売り注文を出したと説明した。

最終的にハッカーはレバレッジポジションを開き、大量に購入し、クロストレードを完了した。クロストレードは、同じ資産の買い注文と売り注文を取引所で記録せずにオフセットする行為だ。

トレーダー側はバイナンスを非難

クリプトナカマオ氏は、異常に高い取引活動にもかかわらず、バイナンスが必要なセキュリティ対策を実施しなかったと非難している。さらに、適時に苦情を受け取ったにもかかわらず、取引所はこれを止めるための行動を取らなかったと述べた。

調査の中で、クリプトナカマオ氏はバイナンスが詐欺的なプラグインの存在をかなり前から知っており、内部調査を進めていたことを発見。ハッカーのアドレスやプラグイン詐欺の性質を知っていたにもかかわらず、バイナンスがトレーダーに通知したり、詐欺を防ぐための行動を取らなかったとクリプトナカマオ氏は主張した。

「バイナンスは、窃盗や頻繁なクロストレードを知っていたにもかかわらず何もしなかった。ハッカーは1時間以上にわたりアカウントを操作し、複数の通貨ペアで極めて異常な取引を行いながら、バイナンスはプラットフォーム内の明らかなハッカーの単一アカウントの資金をタイムリーに凍結できなかった。」

PR記事「 ビットゲット肝いりトークン!今週上場の$BWBが上場前に買えるキャンペーン実施中 」

PR記事「 新規口座開設等で最大6000円相当もらえる!先物取引 コピトレで有名な仮想通貨取引所ビットゲット【特典出金可】 」