Plusieurs traders utilisant la plateforme d’échange Binance ont déclaré que leur compte avait passé des ordres de manière automatique, provoquant ainsi une flambée du Viacoin (VIA) – et une perte d’une partie de leurs fonds.
Hier, certains utilisateurs ont commencé à se plaindre sur le subreddit de Binance, en indiquant que leurs comptes avaient automatiquement passé des ordres.
C’est par exemple le cas de cet internaute :
Binance sold all my Alt coins at market rate from r/BinanceExchange
« Qu’est-ce qui se passe ? Binance a vendu l’ensemble des mes “altcoins” au prix du marché, et il ne me reste plus que des Bitcoins. Est-ce que cela signifie que mon compte a été piraté, ou est-ce un problème lié à un bot de binance ? »
Avant d’ajouter, quelques heures plus tard :
« Tout a été retiré de mon compte. Maintenant, même mes Bitcoins ont disparu. Ils ont été utilisés pour acheter du Viacoin. Toute la valeur est partie ».
« C’est la même chose ! Un ordre d’achat pour du Viacoin a été exécuté à un prix catastrophique », s’est plaint un autre utilisateur.
En effet, les données de Binance indiquent qu’un ordre d’achat portant sur environ 325 000 VIA a été placé peu après 15 heures (UTC), ce qui a provoqué une flambée de la paire VIA/BTC.
Un employé de Binance a rapidement répondu que la plateforme était consciente de ce problème, et qu’elle tentait d’y apporter une solution :
« Nous étudions les déclarations de certains utilisateurs, qui ont rencontré des problèmes avec leurs fonds. Nos équipes cherchent actuellement à résoudre ces problèmes. Merci de bien vouloir faire preuve de patience, nous vous fournirons des informations complémentaires dès que possible.
De nombreux utilisateurs affectés ont déclaré avoir consulté leur historique de connexion pour tenter de débusquer d’éventuels accès non autorisés. Ils ont toutefois indiqué qu’il n’avaient pu trouver aucune activité suspecte – et certains ont précisé qu’ils avaient activé une authentification à deux facteurs (2FA) afin de sécuriser leur compte.
Cet incident semble avoir affecté un nombre limité d’utilisateurs. Suite à celui-ci, Binance a décidé de geler temporairement les retraits, en indiquant que toutes les victimes qu’elle avait pu identifier s’étaient appuyées sur des clés d’API – des clés qui sont généralement utilisées pour des bots de trading, ou des services comme Coinigy.
La société a déclaré qu’il n’y avait « aucune preuve » que Binance ait été directement compromise, et son CEO, Changpeng Zhao, a indiqué sur Twitter que « l’ensemble des fonds [étaient] en sécurité ».
All funds are safe. There were irregularities in trading activity, automatic alarms triggered. Some accounts may have been compromised by phishing from before. We are still investigating. All funds are safe.
— CZ (not giving crypto away) (@cz_binance) 7 mars 2018
Avant d’ajouter que tous les échanges litigieux avaient été annulés :
Binance has reversed all irregular trades. All deposit, trading and withdrawal are resumed. will write a more detailed account of what happened shortly. Interestingly, the hackers lost coins during this attempt. We will donate this to Binance Charity.
— CZ (not giving crypto away) (@cz_binance) 7 mars 2018
Si l’on suppose que ces comptes ont été compromis à travers l’obtention de clés API – ce qui aurait pu être réalisé grâce à un dispositif de « phishing » – le hacker a eu la possibilité d’effectuer des échanges, mais aucun retrait. Il aurait donc pu, comme l’a expliqué un observateur, s’appuyer sur le Viacoin pour transférer des fonds vers son propre compte :
Also re : #Binancehack… Apparently selling peoples alts to buy one specific alt does make sense. pic.twitter.com/fjwYcQsZ3p
— Crypto Randy Marsh (@nondualrandy) 7 mars 2018
« Si vous obtenez les clés API de quelqu’un, vous pouvez trader, mais vous ne pouvez pas effectuer de retrait à partir de son compte. Voici le mode opératoire : vous achetez des VIAs avec votre compte, puis vous placez un ordre de vente à un prix très élevé. Ensuite, vous utilisez l’un des comptes compromis que vous contrôlez pour revendre l’ensemble des altcoins qu’il possède, afin d’obtenir des Bitcoins. Vous pouvez alors utiliser ceux-ci pour acheter ces VIA à des prix très élevés. Il vous est ainsi possible de transférer des Bitcoins vers votre propre compte. »
Certaines victimes ont toutefois protesté en indiquant qu’elles n’avaient jamais utilisé de clés API :
No bots. Never used API. Just 2fa. I wasn’t logged in to Binance on any computer at the time.
— CryptoCosta (@crypto_costa) 7 mars 2018
Binance devrait rapidement publier un communiqué qui devrait nous permettre d’obtenir des précisions supplémentaires.
Référence : CCN