Decentraliseret udveksling (DEX) Bisq lød alarmklokker i går aftes, efter at en hacker udnyttede en softwarefejl til at stjæle mere end $250.000 i kryptovaluta fra brugere.
En fejl indbygget i den nye opdatering
Bisq, som giver brugerne mulighed for at handle anonymt med kryptovalutaer, lukkede brat handelsplatformen ned tirsdag efter at have opdaget "en kritisk sikkerhedssårbarhed".
På nuværende tidspunkt har børsen ikke frigivet nogen information om arten af fejlen eller sikkerheden af brugernes midler. Men 18 timer efter at have stoppet handelen sagde Bisq, at det tog en "hidtil uset" handling efter at have opdaget, at en angriber udnyttede en fejl i softwaren til at stjæle kryptovalutapenge fra andre brugere.
"For omkring 24 timer siden opdagede vi, at en angriber var i stand til at udnytte en fejl i Bisq-handelsprotokollen, målrettet individuelle handler for at stjæle handelskapital.
Vi er opmærksomme på cirka 3 BTC og 4.000 XMR stjålet fra 7 forskellige ofre. Dette er situationen, som vi kender den indtil videre," sagde Bisq i en erklæring. Værdien af stjålne kryptovalutaer har en citat cirka 22.000 $ bitcoin (BTC) og 230.000 $ monero (XMR).
For at udføre tyverierne var angriberen i stand til at indstille standard fallback-adressen for andre brugere - den destination, hvortil kryptovalutaer sendes, hvis en udveksling mislykkes.
Angriberen, der udgav sig som sælger, indgik en handel med en køber og ventede blot på, at tiden løb ud. De digitale aktiver blev derefter krediteret forbryderen sammen med købers betaling samt depositum.
Den pågældende fejl er en del af en nylig opdatering af handelsprotokol, designet til at forbedre decentralisering og fjerne betroede tredjeparter fra platformen.
Bisq løste problemet inden for få timer
Bisq var i stand til at rette fejlen inden for få timer, så handelsaktiviteterne kunne genoptages. Bisq blev udgivet på testnet i slutningen af 2018 som en børs struktureret som en decentraliseret autonom organisation (DAO).
Det fungerer stort set på samme måde som andre DEX'er, men brugere kan handle anonymt, da der ikke er krav til registrering eller identitetsbekræftelse. Med platformen baseret på et distribueret netværk, fungerer hver bruger effektivt som en node.
Selvom udviklerne af Bisq har suspenderet handel i flere timer, gør børsens decentraliserede karakter det muligt for brugere at tilsidesætte suspensionen, hvis de ønsker det. I de fleste tilfælde af hacking af en børs, kan hackeren blive udelukket fra handelsplatformen for evigt.
Dette gælder ikke for Bisq. En af udviklerne tilknyttet DEX sagde, at selvom fejlen var rettet, var der intet, der kunne forhindre angriberen - hvis identitet er ukendt - i at logge ind og betjene platformen igen. "Alle kan bruge Bisq, der er ingen censur," sagde udvikleren. "Ligesom alle kan bruge bitcoin, er der ingen måde at udelukke nogen."
