Binance : des utilisateurs victimes d’ordres d’achat et de vente non désirés

Plu­sieurs tra­ders uti­li­sant la pla­te­forme d’é­change Binance ont décla­ré que leur compte avait pas­sé des ordres de manière auto­ma­tique, pro­vo­quant ain­si une flam­bée du Via­coin (VIA) – et une perte d’une par­tie de leurs fonds.

Hier, cer­tains uti­li­sa­teurs ont com­men­cé à se plaindre sur le subred­dit de Binance, en indi­quant que leurs comptes avaient auto­ma­ti­que­ment pas­sé des ordres.

C’est par exemple le cas de cet internaute :

Binance sold all my Alt coins at mar­ket rate from r/BinanceExchange

« Qu’est-ce qui se passe ? Binance a ven­du l’en­semble des mes “alt­coins” au prix du mar­ché, et il ne me reste plus que des Bit­coins. Est-ce que cela signi­fie que mon compte a été pira­té, ou est-ce un pro­blème lié à un bot de binance ? »

Avant d’a­jou­ter, quelques heures plus tard :

« Tout a été reti­ré de mon compte. Main­te­nant, même mes Bit­coins ont dis­pa­ru. Ils ont été uti­li­sés pour ache­ter du Via­coin. Toute la valeur est partie ».

« C’est la même chose ! Un ordre d’a­chat pour du Via­coin a été exé­cu­té à un prix catas­tro­phique », s’est plaint un autre utilisateur.

En effet, les don­nées de Binance indiquent qu’un ordre d’a­chat por­tant sur envi­ron 325 000 VIA a été pla­cé peu après 15 heures (UTC), ce qui a pro­vo­qué une flam­bée de la paire VIA/BTC.

Un employé de Binance a rapi­de­ment répon­du que la pla­te­forme était consciente de ce pro­blème, et qu’elle ten­tait d’y appor­ter une solution :

« Nous étu­dions les décla­ra­tions de cer­tains uti­li­sa­teurs, qui ont ren­con­tré des pro­blèmes avec leurs fonds. Nos équipes cherchent actuel­le­ment à résoudre ces pro­blèmes. Mer­ci de bien vou­loir faire preuve de patience, nous vous four­ni­rons des infor­ma­tions com­plé­men­taires dès que possible.

De nom­breux uti­li­sa­teurs affec­tés ont décla­ré avoir consul­té leur his­to­rique de connexion pour ten­ter de débus­quer d’é­ven­tuels accès non auto­ri­sés. Ils ont tou­te­fois indi­qué qu’il n’a­vaient pu trou­ver aucune acti­vi­té sus­pecte – et cer­tains ont pré­ci­sé qu’ils avaient acti­vé une authen­ti­fi­ca­tion à deux fac­teurs (2FA) afin de sécu­ri­ser leur compte.

Cet inci­dent semble avoir affec­té un nombre limi­té d’u­ti­li­sa­teurs. Suite à celui-ci, Binance a déci­dé de geler tem­po­rai­re­ment les retraits, en indi­quant que toutes les vic­times qu’elle avait pu iden­ti­fier s’é­taient appuyées sur des clés d’A­PI – des clés qui sont géné­ra­le­ment uti­li­sées pour des bots de tra­ding, ou des ser­vices comme Coi­ni­gy.

La socié­té a décla­ré qu’il n’y avait « aucune preuve » que Binance ait été direc­te­ment com­pro­mise, et son CEO, Chang­peng Zhao, a indi­qué sur Twit­ter que « l’en­semble des fonds [étaient] en sécu­ri­té ».

All funds are safe. There were irre­gu­la­ri­ties in tra­ding acti­vi­ty, auto­ma­tic alarms trig­ge­red. Some accounts may have been com­pro­mi­sed by phi­shing from before. We are still inves­ti­ga­ting. All funds are safe.

— CZ (not giving cryp­to away) (@cz_binance) 7 mars 2018

Avant d’a­jou­ter que tous les échanges liti­gieux avaient été annulés :

Binance has rever­sed all irre­gu­lar trades. All depo­sit, tra­ding and with­dra­wal are resu­med. will write a more detai­led account of what hap­pe­ned short­ly. Inter­es­tin­gly, the hackers lost coins during this attempt. We will donate this to Binance Charity.

— CZ (not giving cryp­to away) (@cz_binance) 7 mars 2018

Si l’on sup­pose que ces comptes ont été com­pro­mis à tra­vers l’ob­ten­tion de clés API – ce qui aurait pu être réa­li­sé grâce à un dis­po­si­tif de « phi­shing » – le hacker a eu la pos­si­bi­li­té d’ef­fec­tuer des échanges, mais aucun retrait. Il aurait donc pu, comme l’a expli­qué un obser­va­teur, s’ap­puyer sur le Via­coin pour trans­fé­rer des fonds vers son propre compte :

Also re : #Binan­ce­hack… Appa­rent­ly sel­ling peoples alts to buy one spe­ci­fic alt does make sense. pic.twitter.com/fjwYcQsZ3p

— Cryp­to Ran­dy Marsh (@nondualrandy) 7 mars 2018

« Si vous obte­nez les clés API de quel­qu’un, vous pou­vez tra­der, mais vous ne pou­vez pas effec­tuer de retrait à par­tir de son compte. Voi­ci le mode opé­ra­toire : vous ache­tez des VIAs avec votre compte, puis vous pla­cez un ordre de vente à un prix très éle­vé. Ensuite, vous uti­li­sez l’un des comptes com­pro­mis que vous contrô­lez pour revendre l’en­semble des alt­coins qu’il pos­sède, afin d’ob­te­nir des Bit­coins. Vous pou­vez alors uti­li­ser ceux-ci pour ache­ter ces VIA à des prix très éle­vés. Il vous est ain­si pos­sible de trans­fé­rer des Bit­coins vers votre propre compte. »

Cer­taines vic­times ont tou­te­fois pro­tes­té en indi­quant qu’elles n’a­vaient jamais uti­li­sé de clés API :

No bots. Never used API. Just 2fa. I wasn’t log­ged in to Binance on any com­pu­ter at the time.

— Cryp­to­Cos­ta (@crypto_costa) 7 mars 2018

Binance devrait rapi­de­ment publier un com­mu­ni­qué qui devrait nous per­mettre d’ob­te­nir des pré­ci­sions supplémentaires.

Réfé­rence : CCN