Hace unos días leí en Reddit la historia de un usuario que al entrar a su cuenta de Binance vio que su balance había bajado de $25,000 a $4,900 en un sólo día. La historia me llamó mucho la atención ya que era sorprendente: el usuario afirmaba tener la cuenta de Binance totalmente protegida y que alguien hizo cientos de operaciones de trading que le generaron pérdidas por más de $20,000. En este artículo de hoy te voy a explicar qué le paso y qué tienes que hacer para evitar que te ocurra en tu cuenta.
La primera regla cripto
Nunca dejes tus fondos en un exchange.
La segunda regla cripto
Nunca dejes tus fondos en un exchange.
Entras a tu cuenta y ves que tienes $20,000 menos
Esto le ocurrió a un usuario de Reddit que afirmó hace dos días que le habían hackeado su cuenta de Binance. Esto no sería noticia, pues ocurren hackeos a diario, pero este caso es diferente. Esto fue lo que dijo la víctima en Reddit:
Fui pirateado por $ 20,000 en Binance el domingo. ¡Todo mi Bitcoin… se fue! Me quedé con $ 4,900.
El hacker accedió a mi cuenta, aparentemente usando una ‘clave de API filtrada’ e hizo cientos de intercambios. Vendido bajo y comprado alto shitcoins.
Solo hice 3 claves API. Uno con Cointracker, uno con TaxBit y otro con Zenledger. Las tres claves API están configuradas en SÓLO LECTURA. Cuando creé estas API, me aseguré de que fueran de SÓLO LECTURA. Cuando Binance me devolvió el acceso a mi cuenta, eran permisos de SOLO LECTURA. Las claves API no tenían permisos comerciales.
Binance no ha asumido ninguna responsabilidad y acaba de decir que se debió a una fuga de API. Incluso si se filtraron las API, no tenían ningún permiso comercial, por lo que estoy confundido en cuanto a cómo pudieron comerciar. Esta es una advertencia para todos ustedes para que eliminen cualquier clave API, incluso si son de solo lectura, para evitar que sus Bitcoin sean robados de su intercambio.
¿Alguien tiene alguna idea de cómo ocurrió esto con READ ONLY api? Creo que esta fue la brecha de seguridad de Binance, ya que nunca escuché que un pirata informático pudiera piratear usando una API de solo lectura y realizar intercambios… ¡parece tan sospechoso!
¡Cualquier consejo sería genial! Espero que esto ayude a algunos de ustedes y aprendan algunas lecciones de mí. ¡Nunca guarde una cantidad significativa en un intercambio!
¿Alguien conoce a algún abogado de criptografía que se haga cargo de mi caso? Algunos de ellos solo aceptarán casos que hayan perdido $ 100k debido a fallas en el intercambio.
Gracias
Datos del hackeo
La víctima asegura que generó 3 claves API en Binance para aplicaciones de terceros, pero que estas claves eran de sólo lectura. Es evidente que si un actor malicioso las consiguiera, al ser de sólo lectura, no podría realizar intercambios en el exchange, tan sólo podría ver saldos.
La víctima afirma que quien entró a su cuenta se dedicó a hacer trading con su saldo de spot, haciendo cientos de operaciones en las que redujo su saldo de 25,000 a 4,900 dólares. Es decir, el intruso no se llevó nada, simplemente hizo operaciones malas, muy malas.
En un intercambio de correos con la víctima, Binance le indica que el responsable de la custodia de las API es el cliente, así que le echan la culpa a él y se lavan las manos. No le ofrecen ninguna solución.
Posteriormente, en respuesta a las preguntas que le hacían el resto de usuarios de la comunidad de Reddit, la víctima dice que su cuenta estaba totalmente protegida con todas las garantías de seguridad que ofrece Binance. Y que la propia Binance le aseguró que el hackeo se produjo a través de una de sus API.
💡 APRENDE MÁS
Cuidado con las APIs
Si aún a día de hoy mantienes tus fondos en los exchanges, sólo tú conoces los motivos. Pero yo de ti eliminaba todas las APIs generadas, pues otro usuario denunció haber sufrido un ataque similar perdiendo unos $30,000.
Por otro lado, corre el rumor de que una empresa que custodia e-mails y APIs ha sido pirateada, siendo expuestos los datos de sus clientes. No sé si será cierto, pero cuando el río suena… No obstante, os dejo el último mensaje que dejó la víctima en el hilo de Reddit en el que expuso el hackeo:
Mi consejo: cumplir las dos reglas cripto que puse más arriba. Si no lo haces por el motivo que sea, elimina las claves API que tengas, aunque sean de sólo lectura.
¿Cómo proteger tus fondos con autocustodia?
Lo mejor es utilizar una billetera física con la que sólo tú tendrás acceso a tus fondos. Serás el único dueño y responsable de tus criptomonedas.
Consejos para custodiar Bitcoin y criptomonedas de forma eficiente
💡 APRENDE MÁS
¿Una billetera física es totalmente segura?
No hay nada seguro al 100 %
Lo que sí está claro es que con una billetera física el único responsable eres tú. Si aprendes a custodiarla con seguridad, podrás disponer de tus fondos durante el resto de tu vida, incluso dejar riqueza a tus descendientes.
¿Te interesa el asunto del hackeo y quieres saber más?
Aquí te dejo el hilo principal.