أطلقت منصة التداول اللامركزية (DEX) Bisq جرس الإنذار الليلة الماضية بعد أن استغل أحد المتطفلين ثغرة برمجية لسرقة أكثر من 250.000 ألف دولار من العملات المشفرة من المستخدمين.
عيب مدمج في التحديث الجديد
Bisq ، التي تتيح للمستخدمين تداول العملات المشفرة دون الكشف عن هويتهم ، أغلقت فجأة منصة التداول يوم الثلاثاء بعد اكتشاف "ثغرة أمنية خطيرة".
في الوقت الحالي ، لم تصدر البورصة أي معلومات حول طبيعة الخلل أو سلامة أموال المستخدمين. ولكن بعد 18 ساعة من التوقف عن التداول ، قالت Bisq إنها اتخذت إجراءً "غير مسبوق" بعد اكتشافه أن أحد المهاجمين كان يستغل خللاً في البرنامج لسرقة أموال العملة المشفرة من مستخدمين آخرين.
"منذ حوالي 24 ساعة ، اكتشفنا أن أحد المهاجمين تمكن من استغلال ثغرة في بروتوكول Bisq التجاري من خلال استهداف التداولات الفردية لسرقة رأس المال التجاري.
نحن على علم بسرقة حوالي 3 BTC و 4.000 XMR من قبل 7 ضحايا مختلفين. وقال بسك في بيان "هذا هو الوضع كما نعرفه حتى الآن". قيمة العملات المشفرة المسروقة لها اقتباس ما يقرب من 22.000 دولار من البيتكوين (BTC) و 230.000 ألف دولار من المونيرو (XMR).
لتنفيذ السرقات ، تمكن المهاجم من تعيين العنوان الاحتياطي الافتراضي للمستخدمين الآخرين - الوجهة التي يتم إرسال العملات المشفرة إليها في حالة فشل التبادل.
متظاهرًا بجزء من البائع ، بدأ المتسلل في تجارة مع مشتر وانتظر حتى ينفد الوقت. ثم تم إيداع الأصول الرقمية للمجرم ، جنبًا إلى جنب مع مدفوعات المشتري وكذلك وديعة الضمان.
الخلل المعني هو جزء من التحديث الأخير لبروتوكول التداول ، المصمم لتحسين اللامركزية وإزالة الأطراف الثالثة الموثوقة من المنصة.
حل Bisq المشكلة في غضون ساعات قليلة
تمكنت Bisq من تصحيح الخلل في غضون ساعات قليلة ، مما سمح باستئناف أنشطة التداول. تم إصدار Bisq على testnet في أواخر عام 2018 كبورصة منظمة كمنظمة مستقلة لامركزية (DAO).
إنه يعمل بنفس الطريقة التي تعمل بها DEXs الأخرى ، ولكن يمكن للمستخدمين العمل بشكل مجهول حيث لا توجد متطلبات تسجيل أو التحقق من الهوية. مع النظام الأساسي الذي يعتمد على شبكة موزعة ، يعمل كل مستخدم بشكل فعال كعقدة.
على الرغم من أن مطوري Bisq قد أوقفوا التداول لعدة ساعات ، إلا أن الطبيعة اللامركزية للبورصة تجعل من الممكن للمستخدمين تجاوز التعليق إذا رغبوا في ذلك. في معظم حالات اختراق البورصة ، يمكن طرد المخترق من منصة التداول إلى الأبد.
هذا لا ينطبق على Bisq. ادعى أحد المطورين المرتبطين بـ DEX أنه على الرغم من إصلاح الخلل ، لم يكن هناك شيء يمكن أن يمنع المهاجم - الذي لا يمكن معرفة هويته - من تسجيل الدخول والعمل على النظام الأساسي مرة أخرى. قال المطور: "يمكن لأي شخص استخدام Bisq ، لا توجد رقابة". "مثلما يمكن لأي شخص استخدام البيتكوين ، لا توجد طريقة لاستبعاد أي شخص."
