Генеральный директор Binance взломан через уязвимость сотового оператора, которая, вероятно, подвергает опасности вашу криптовалюту

Со-генеральный директор Binance И Хэ заявила, что ее аккаунт в WeChat был взломан 10 декабря после того, как номер телефона, привязанный к профилю, был отозван и сначала не мог быть восстановлен.

Аккаунт был позже восстановлен после того, как Binance поработала с командой безопасности WeChat, согласно заявлению представителя в тот же день.

Посты, появившиеся после захвата, продвигали токен под названием "Mubarakah", а данные в цепочке, опубликованные Lookonchain, указывали на прокачку и сброс, который принес около 55 000 $ до удаления контента.

Почему взлом WeChat И Хэ имеет значение за пределами Binance

Этот эпизод произошел через несколько дней после того, как о повышении И Хэ до со-генерального директора было объявлено на Binance Blockchain Week, поместив личность руководителя в центр инцидента на веб-платформе, а не нарушения криптовалютной инфраструктуры.

Веб-аккаунты, привязанные к телефонным номерам, остаются уязвимыми для процессов восстановления, которые злоумышленники могут перехватить, не затрагивая кошельки, системы хостинга или бэкенды бирж, что является моделью, сформировавшей несколько влияющих на рынок инцидентов за последние два года.

Согласно посмертному анализу SEC о компрометации X в январе 2024 года, номер телефона на аккаунте агентства не имел двухфакторной защиты, и фальшивый пост об одобрении ETF ненадолго сдвинул Bitcoin примерно на 1 000 $ до последующих корректировок. SEC и ФБР позже подробно описали аресты, связанные с этим взломом.

Согласно документу SEC, этот случай стал ориентиром для понимания того, как одно поддельное сообщение может изменить динамику цен и вызвать ликвидации без каких-либо эксплойтов в цепочке.

Основатель SlowMist на прошлой неделе опубликовал руководство, описывающее, как захват аккаунта WeChat может происходить с использованием утекших учетных данных и верификации "частых контактов". Этот метод может ускорить восстановление путем отправки сообщений двум контактам для удовлетворения проверок личности, создавая путь с низким трением для злоумышленников.

Согласно City News Service в Шанхае, китайские операторы обычно переиздают отмененные номера примерно через 90 дней, практика вторичного выпуска, которая пересекается с устаревшим восстановлением по SMS и оставляет неактивные аккаунты уязвимыми при переработке номеров.

Если старый номер остается привязанным к заброшенному профилю, новый владелец может получать SMS-подсказки или проходить проверки восстановления, которые либо обходят, либо ослабляют зависимость от пароля, что соответствует заявлению И Хэ о том, что номер, связанный с ее профилем, "был захвачен для использования".

Роль WeChat в криптовалютных кругах повышает риск конверсии, когда взламываются аккаунты руководителей или ключевых лидеров мнений. Многие OTC торговли USDT и обсуждения розничного сообщества проходят через приложение, и знакомый хэндл может передать достаточно подразумеваемого доверия, чтобы привлечь потоки в контракты с низкой ликвидностью.

Эта динамика отличается от случайной спам-ссылки на X, где пересечение пользователей и намерение транзакции могут быть ниже.

Собственная экосистема Binance столкнулась с риском социальных аккаунтов в этом году, когда официальный аккаунт BNB Chain в X был скомпрометирован 1 октября, было опубликовано десять фишинговых ссылок, и около 8 000 $ пользовательских потерь были позже возмещены.

Непосредственное влияние на рынок вокруг случая с WeChat И Хэ казалось сдержанным. По состоянию на 10 декабря в лондонские торговые часы, BNB был примерно на том же уровне в течение дня около 890 $, с внутридневными максимумами и минимумами в диапазоне между 927,32 $ и 884,67 $.

Экономическая выгода, упомянутая в этом инциденте, примерно 55 000 $, соответствует нижней границе для одиночных продвижений мем-коинов. Скоординированные взломы нескольких аккаунтов X принесли около 500 000 $ за месяц, неоднократно направляя розничных инвесторов в новые токены.

Простая иллюстрация охвата-к-доходу помогает сформировать стимулы

В качестве модели, если взломанный аккаунт руководителя достигает от 1 до 5 миллионов контактов, если от 0,05% до 0,20% переходят по ссылке, и если 10% из этих кликнувших вкладывают по 100 $ каждый в неглубокий пул, валовые притоки составят около 5 000–100 000 $ за пост, что соответствует оценке в 55 000 $.

Хотя это модель, а не утверждение факта, она соответствует наблюдаемым результатам, когда личность несет доверие аудитории, а ликвидность токена низкая.

Растущие общие потери в 2024 году обеспечивают макрофон. Chainalysis и TRM Labs оценивают примерно 2,2 миллиарда $ украденной криптовалюты в этом году, с поворотом в середине года к атакам на централизованные сервисы, даже несмотря на то, что доля незаконной активности в цепочке остается ниже 1%.

Санкционированные организации все больше полагаются на стейблкоины, согласно Chainalysis и TRM Labs, что удерживает внимание политики на операционных рисках и рисках идентификации, которые могут быть использованы без взлома криптографии. Политический ответ также меняется.

Южная Корея 27 ноября двинулась в сторону ответственности "банковского уровня" без вины для бирж после инцидента с Upbit, создавая возможный план того, как регуляторы могут назначать ответственность за потери, связанные с платформой, которые включают социальную инженерию или слабости сторонних платформ.

Механика безопасности в случае И Хэ подчеркивает, где контроль может дать сбой

Переработка SIM-карт плюс социальное восстановление позволяет захватывать контроль, когда платформа принимает SMS или контактные доказательства вместо аппаратно-привязанных факторов. Верификация "частых контактов" ускоряет захват путем использования социальных связей, особенно когда контакты привыкли авторизовывать рутинные действия.

Если аккаунт руководителя неактивен, отпечатки устройства и недавность сессии могут быть устаревшими, что облегчает переработанному номеру прохождение ворот восстановления.

Согласно предупреждениям безопасности Binance, опубликованным ранее в этом году, злоумышленники неоднократно тестировали ориентированные на WeChat потоки, которые сочетают утекшие учетные данные, верификацию контактов и повторное использование номеров.

Для советов директоров и команд по соблюдению нормативных требований, личности руководителей теперь функционируют как рыночная инфраструктура. Один непроверенный пост может мобилизовать объем в девять цифр, привести к потерям пользователей и вынудить к публичному исправлению. Этот периметр управления находится за пределами хостинга биржи и традиционных бюджетов кибербезопасности.

Он охватывает личные устройства, устаревшие аккаунты, политики операторов и настройки сторонних платформ, что усложняет аудиты контроля и протоколы раскрытия информации.

Инцидент SEC X, компрометация аккаунта BNB Chain и продолжающиеся взломы мем-коинов знаменитостей, о которых сообщают такие СМИ, как WIRED, показывают, что безопасность социальных аккаунтов является повторяемым путем к влиянию на рынок.

Учитывая факты на сегодняшний день, пути вперед делятся на три группы

Сдержанный репутационный всплеск не будет включать дальнейшие посты самозванцев, короткую заметку платформы от Binance, отсутствие потерь пользователей помимо добычи злоумышленника и ограниченное влияние на рынок BNB или более широкий рынок Binance.

Политическая рябь с ограниченным рыночным стрессом увидит, как власти APAC или Европы выпустят руководство по управлению социальными аккаунтами руководителей, возможно, опираясь на направление Южной Кореи, с мандатами аппаратных ключей и стандартами компенсации без вины для проверенных инцидентов социальной инженерии.

Эскалация до влияющей на рынок подделки будет нацелена на листинг или заявку на аирдроп, координироваться по каналам и продвигать объем в девять цифр до удаления, повторяя прецедент SEC и предыдущие взломы кросс-аккаунтов.

Указатели включают новые фишинговые домены или кластеры кошельков, связанные с известной мошеннической инфраструктурой, корпоративные подтверждения контроля веб-аккаунтов и заявления WeChat о исправлении переработанных номеров.

Меры по снижению риска хорошо отображены. Политика аварийного выключения для аккаунтов руководителей, не используемых для бизнеса, отключение телефона или восстановления по SMS; принудительное использование аппаратных ключей; и организационный SSO для любого канала, который может быть истолкован как корпоративная коммуникация, сократили бы воздействие.

Со стороны платформы, WeChat мог бы требовать недавних успешных входов, привязанных к устройству, прежде чем разрешать публикацию в масштабе вещания с аккаунтов публичных фигур, связанных с переработанными номерами, и расширить верификацию корпоративного уровня для хэндлов с высоким охватом.

Эти меры не устранят спуфинг, но они уменьшат вероятность и сократят окно, в течение которого взлом может монетизировать аудиторию.

Остаются открытые вопросы. Пока не ясно, понесли ли пользователи Binance прямые потери от ссылок, опубликованных в WeChat, и будет ли предложена какая-либо компенсация за вред, нанесенный вне платформы.

Также неизвестно, усилили ли вторичные каналы посты "Mubarakah" или сетевые эффекты WeChat сдержали влияние.

Подтверждение цепочки и контрактов токена, а также любая координация между централизованными площадками и фронтендами DEX для пометки или блокировки торговли, прояснили бы операционный след.

Аккаунт И Хэ был восстановлен, согласно Binance, и внимание теперь переключается на то, корректируют ли операторы и WeChat меры безопасности вокруг переработанных номеров и восстановления на основе контактов.

Пост "Генеральный директор Binance взломан с помощью эксплойта сотового оператора, который, вероятно, оставляет вашу собственную криптовалюту уязвимой" впервые появился на CryptoSlate.