Dossier PexRat: Jak 1,5 miliona użytkowników Binance skończyło na sprzedaż na Deep Web bez najazdu na serwery

Odkrycie: VECERT wykrywa największy wyciek kryptowaluty w roku

W 28 marca 2026, VECERT Analyzer — platforma analityki zagrożeń cybernetycznych specjalizująca się w śledzeniu aktorów przestępczych w dark web, deep web i nielegalnych forach — opublikowała alert, który wstrząsnął branżą: aktor zagrożenia operujący pod pseudonimem PexRat wystawił na sprzedaż na prywatnym forum bazę danych zawierającą informacje o około 1,5 miliona użytkowników Binance, największej giełdy kryptowalut na świecie.

Przypadek zasługuje na uwagę nie tylko ze względu na rozmiary, ale ze względu na wyrafinowanie metody. To, co sprzedawał PexRat, nie była klasyczną bazą danych wyeksfiltrowaną poprzez naruszony serwer — było to coś bardziej niebezpiecznego i trudniejszego do wykrycia: wynik operacji łączenia credential stuffing ze skrobaniem API, która operowała przez miesiące, wykorzystując luki w projekcie ochrony punktów końcowych logowania.

Co zostało ujawnione

Zgodnie z analizą techniczną VECERT, oferowana baza zawiera:

Dane rejestracyjne

• Pełne nazwy
• Adresy e-mail rejestracyjne
• Numery telefonów zarejestrowane
• Status weryfikacji KYC (podstawowy, średniozaawansowany, zaawansowany)

Dane techniczne i sesji

• Ostatni adres IP logowania każdego konta
• Agenci użytkownika urządzenia (przeglądarka, system operacyjny)
• Status i typ 2FA (SMS, e-mail lub aplikacja autentyfikatora)

Ta kombinacja jest szczególnie niebezpieczna. To nie tylko lista e-maili — to pełny profil operacyjny na użytkownika. Atakujący mający dostęp do tej bazy dokładnie wie, jak atakować każdą ofiarę: czy ma słabą 2FA (SMS → SIM swap), czy używa określonych urządzeń (ukierunkowanie na złośliwe oprogramowanie specyficzne dla urządzenia), czy jest geograficznie skoncentrowana w podatnych jurysdykcjach.

Metoda: To nie był breach, to było nadużycie

VECERT był kategoryczny w analizie: wewnętrzne serwery Binance NIE zostały włamane. To, co się stało, było bardziej kłopotliwe — z punktu widzenia bezpieczeństwa trudniej do zaakceptowania:

"Dowody sugerują, że atakujący zdołał obejść lub nadużyć mechanizmy bezpieczeństwa (takie jak CAPTCHA) w interfejsie logowania lub w którejś z API platformy, umożliwiając stały przepływ żądań bez blokady." — VECERT Analyzer

Credential Stuffing: Mechanika

Credential stuffing to atak, w którym przestępca:

1. Otrzymuje ogromne listy kombinacji e-mail+hasło z innych wycieków (LinkedIn 2021, Yahoo, Adobe, tysiące mniejszych witryn)
2. Używa zautomatyzowanych narzędzi do testowania tych kombinacji na innej platformie (w tym przypadku Binance)
3. Kiedy kombinacja działa, oznacza to, że użytkownik ponownie użył hasła — a teraz to konto jest zagrożone
4. Wyodrębnia dane profilu, które API zwraca podczas pomyślnego logowania

Obejście CAPTCHA

Tutaj znajduje się szczegół krytyczny. Standardową ochroną przed credential stuffing jest CAPTCHA lub ograniczenie szybkości. PexRat znalazł sposoby, aby:

• Obejść CAPTCHA używając automatycznych solverów (usługi takie jak 2Captcha, AntiCaptcha)
• Wykorzystać punkty końcowe API mniej chronione niż główny przepływ logowania
• Rotować pule proxy, aby uniknąć blokady przez IP
• Modulować timing i fingerprint, aby wyglądać jak organiczny ruch

Kombinacja technik umożliwił stały przepływ nieblokowanych żądań — skutecznie zamieniając publiczne API Binance w kontrolowane źródło danych.

Kim jest PexRat

Pseudonim PexRat pojawia się na forach sprzedaży przestępczej od około 2024 roku. Krzyżowe analizy VECERT, TRM Labs i innych firm sugerują:

• Operacja prawdopodobnie oparta w Europie Wschodniej lub Rosji, z pewnymi wskaźnikami aktywności w brazylijskim strefie czasowej
• Historia sprzedaży baz danych fintech'ów, mniejszych giełd i platform bukmacherskich
• Silna aktywność na BreachForums i LeakBase, z ustaloną reputacją wśród kupujących
• Ceny zmienne w zależności od skali — dla bazy Binance, raporty wskazują wartości w przedziale USD 10 000 do USD 50 000 za pełną bazę, z dostępem częściowym oferowanym za niższe ceny

Modus operandi sugeruje operację profesjonalną, a nie oportunistyczną. To nie nastolatek w piwnicy — to operator komercyjny traktujący dane jako towar, sprzedający przez wiele kanałów i ekstrahujący wartość przez lata.

Historia, którą nie można ignorować

Wyciek PexRata nie jest izolowanym zdarzeniem. W styczniu 2026 badacz bezpieczeństwa Jeremiah Fowler opublikował raport na temat około 420 000 poświadczeń powiązanych z Binance ujawnionych poprzez złośliwe oprogramowanie infostealer — wirusy działające na komputerze ofiary, które ekstrahują hasła zapisane w przeglądarkach i portfelach.

Łącząc oba epizody, mamy większy obraz:

• Dziesiątki tysięcy użytkowników Binance zagrożonych za pośrednictwem złośliwego oprogramowania na punktu końcowym
• Miliony użytkowników ujawnionych poprzez enumerację API i credential stuffing
• Rzeczywista powierzchnia ataku jest dynamiczna i trwała, a nie punktowym incydentem

Co Binance powiedziała (i czego nie powiedziała)

Oficjalna odpowiedź giełdy podążała za typowym wzorem dużych platform:

• Uznanie istnienia podejrzanej aktywności w punktach końcowych autentykacji
• Stwierdzenie, że systemy centralne nie zostały zagrożone — punkt techniczny poprawny, ale mylący w percepcji
• Implementacja nowych warstw ochrony (dodatkowe niewidoczne CAPTCHA, wykrywanie wzorców botów, blokada znanych pul proxy)
• Bez indywidualnej komunikacji z 1,5 milionami użytkowników poszkodowanych
• Bez oferty kompensacji, ponieważ formalnie nie było "włamania"

Stanowisko jest uzasadnione prawnie, ale moralnie słabe. Różnica między "wasze dane wyciekły, bo włamaliśmy się na nasz serwer" a "wasze dane wyciekły, bo nasze API nie miało wystarczającej ochrony" może nie mieć sensu dla użytkownika, który teraz otrzymuje ukierunkowany phishing codziennie.

Jak sprawdzić, czy byłeś poszkodowany

Nie ma oficjalnego sposobu na potwierdzenie indywidualnie przez Binance. Ale jest kilka wskaźników:

1. Nagły wzrost phishingu ukierunkowanego (e-maile i SMS zawierające twoje imię, ostatnie 4 cyfry telefonu lub odniesienia do rzeczywistych depozytów)
2. Nieznane próby logowania w historii twojego konta (sprawdź w Security Settings > Account Activity)
3. Próba SIM swap u twojego operatora — kontakt atakującego prosząc o przeniesienie numeru
4. Pojawienie się twojego e-maila w HaveIBeenPwned (haveibeenpwned.com) powiązane z ostatnim wyciekiem

Przewodnik natychmiastowej ochrony

Działania krytyczne (Do wykonania dzisiaj)

1. Zmień hasło Binance na unikalne, liczące ponad 20 znaków, wygenerowane przez menedżer haseł (1Password, Bitwarden)
2. Migruj 2FA z SMS na aplikację autentyfikatora (Google Authenticator, Authy) lub idealnie: fizyczny klucz FIDO2 (YubiKey, Feitian)
3. Aktywuj Anti-Phishing Code w ustawieniach Binance — e-maile od Binance będą zawierać ten unikalny kod
4. Skonfiguruj listę dozwolonych dla wypłat — zezwalaj na wypłaty tylko na wcześniej zatwierdzone adresy z blokadą czasową 24h
5. Sprawdź aktywne klucze API — odwołaj wszystkie, które nie są aktywnie używane

Ciągła higiena

• Używaj dedykowanego e-maila dla giełd — nigdy osobistego e-maila, który jest na dziesiątkach witryn
• PIN ochronny karty SIM u operatora, przeciwko SIM swap
• Unikalne hasła do każdej usługi — nigdy nie ponownie używaj haseł
• Menedżer haseł obowiązkowy — trzymanie "łatwych do zapamiętania haseł" to pozwolenie dla PexRata i jemu podobnych
• Rozważ self-custody dla większości majątku — trzymaj na giełdzie tylko to, co jest potrzebne do aktywnego tradingu

Perspektywa branżowa

Dla Giełd

Przypadek Binance ujawnia strukturalną wadę: giełdy operują API logowania jak publiczne SaaS-y, ale chronią je jak blogi. Standardy, które powinny być wstępne:

• Device fingerprinting + analityka behawioralna przy każdej próbie logowania
• Adaptacyjne ograniczenie szybkości na konto, IP, urządzenie, geolokalizację
• Niewidoczny Proof-of-work (w stylu hashcash) aby zwiększyć koszt atakującego
• Ciągłe monitorowanie BreachForums, LeakBase, kanałów Telegram
• Partnerstwo z threat intelligence (VECERT, Intel471, Recorded Future)

Dla regulatorów

Przepisy o powiadomieniu o naruszeniu (GDPR w UE, reguły SEC Cybersecurity w USA, LGPD w Brazylii) formalnie dotyczą włamań. Ale nie credential stuffing na masową skalę. To jest luka, którą trzeba zamknąć — poszkodowani użytkownicy są poszkodowani, niezależnie od wektora technicznego.

Wnioski: Nowa granica bezpieczeństwa na giełdach

Wyciek PexRata uczy trzech przykrych lekcji:

1. "Nie zostaliśmy włamani" to stwierdzenie, które traci wartość. Jeśli twoje dane wyciiekły, wyciiekły — wektor techniczny ma mało znaczenia
2. CAPTCHA i 2FA przez SMS to obrony przeszłości. W 2026 roku potrzebujemy bardziej wyrafinowanych architektur
3. Threat intelligence to infrastruktura. Platformy, które ignorują VECERT, Intel471, Elliptic i podobne, operują krótkowzrocznie

Dla zwykłego użytkownika lekcja jest jeszcze prostsza: twoja higiena cyfrowa to połowa twojego bezpieczeństwa finansowego w kryptowalutach. Unikalne hasło, silna 2FA, dedykowany e-mail, lista dozwolonych dla wypłat, self-custody na długi termin. Nic z tego nie jest atrakcyjne, ale to wszystko, co odróżnia kogoś, kto śpi spokojnie, od kogoś, kto pewnego poranka odkrywa, że jego imię znajduje się w pakiecie sprzedawanym na BreachForums za USD 50 000.

PexRat przejdzie do następnego celu. A jeśli będzie zależeć tylko od jego CAPTCHA, on się powiedzie.

Źródło główne: analiza techniczna opublikowana przez VECERT Analyzer 28 marca 2026. Dane zestawione z relacjami BeInCrypto, CoinDesk i innych źródeł.

Zastrzeżenie: Ta treść ma charakter informacyjny i edukacyjny. Nie stanowi rekomendacji inwestycyjnej. Postępuj zgodnie z dobrymi praktykami bezpieczeństwa i w przypadku podejrzenia zagrożenia niezwłocznie skontaktuj się z obsługą swojej giełdy.