Bagikan:

JAKARTA - Seorang pedagang Cina kehilangan 1 juta dolar AS (Rp16,2 miliar) akibat penipuan yang menggunakan plugin Google Chrome promosi bernama Aggr. Plugin ini mencuri cookie dari pengguna, yang digunakan oleh peretas untuk melewati verifikasi kata sandi dan otentikasi dua faktor (2FA) dan masuk ke akun Binance korban.

Pedagang yang dikenal dengan nama pengguna X CryptoNakamao menceritakan pengalaman buruknya kehilangan tabungan hidupnya dalam penipuan yang tak terduga. Pada 24 Mei, akun Binance-nya mulai melakukan perdagangan secara acak, dan dia baru menyadari hal ini setelah membuka aplikasi Binance untuk memeriksa harga Bitcoin.

Pada saat dia mencari bantuan dari Binance, peretas sudah menarik semua dana.

Peretas Mencuri Data Cookie  

Trader tersebut mengklaim bahwa peretas telah mengakses data cookie peramban webnya, yang mereka curi melalui plugin Chrome bernama Aggr. Pedagang menginstal plugin tersebut untuk mengakses data pedagang terkemuka, hanya untuk menyadari bahwa perangkat lunak tersebut dirancang untuk mencuri data penjelajahan web dan cookie pengguna.

Peretas kemudian menggunakan cookie yang dikumpulkan untuk membajak sesi pengguna aktif tanpa kata sandi atau otentikasi dan melakukan beberapa perdagangan dengan leverage untuk menaikkan harga pasangan mata uang dengan likuiditas rendah dan mendapat keuntungan dari mereka.

Meskipun peretas tidak bisa menarik dana secara langsung karena 2FA, mereka menggunakan cookie dan sesi login aktif untuk menghasilkan keuntungan melalui perdagangan silang.

Binance Disalahkan

Trader itu mengklaim bahwa Binance tidak menerapkan langkah-langkah keamanan penting meskipun ada aktivitas perdagangan yang sangat tinggi. "Selain itu, meskipun menerima keluhan tepat waktu, bursa gagal mengambil tindakan untuk menghentikan peretasan ini," tambahnya.

Dalam penyelidikannya, pedagang menemukan bahwa Binance sudah mengetahui tentang plugin penipuan tersebut selama beberapa waktu dan sedang melakukan investigasi internal. Meskipun mengetahui alamat peretas dan sifat dari penipuan plugin tersebut, pedagang mengklaim Binance gagal memberi tahu para pedagang atau mengambil tindakan apapun untuk mencegah penipuan ini.  

"Binance tidak melakukan apa-apa meskipun mengetahui pencurian dan perdagangan silang yang sering terjadi. Peretas memanipulasi akun selama lebih dari satu jam, menyebabkan transaksi yang sangat tidak normal dalam beberapa pasangan mata uang tanpa kontrol risiko; Binance gagal membekukan dana dari akun tunggal peretas yang jelas di platform tepat waktu," ungkap CryptoNakamao.