El intercambio descentralizado (DEX) Bisq hizo sonar la sirena de alarma anoche después de que un pirata informático explotó una falla de software para robar a los usuarios más de $ 250.000 en criptomoneda.
Una falla integrada en la nueva actualización
Bisq, que permite a los usuarios intercambiar criptomonedas de forma anónima, desactivó abruptamente la plataforma de negociación el martes después de descubrir "una vulnerabilidad de seguridad crítica".
Por el momento, el intercambio no ha publicado ninguna información sobre la naturaleza del defecto o la seguridad de los fondos de los usuarios. Pero 18 horas después de detener el comercio, Bisq dijo que había tomado una acción "sin precedentes" después de descubrir que un atacante estaba explotando una falla en el software para robar dinero de criptomonedas de otros usuarios.
“Hace aproximadamente 24 horas, descubrimos que un atacante podía explotar una falla en el protocolo comercial de Bisq al atacar operaciones individuales para robar capital comercial.
Somos conscientes de aproximadamente 3 BTC y 4.000 XMR robados de 7 víctimas diferentes. Esta es la situación tal como la conocemos hasta ahora ", dijo Bisq en un comunicado. El valor de la criptomoneda robada tiene uno precio alrededor de $ 22.000 en bitcoin (BTC) y $ 230.000 en monero (XMR).
Para realizar los robos, el atacante pudo establecer la dirección de reserva predeterminada de otros usuarios: el destino al que se envían las criptomonedas en caso de un fallo de intercambio.
Al pretender ser el vendedor, el hacker comenzó un negocio con un comprador y simplemente esperó a que se agotara el tiempo. Los activos digitales se acreditaron al criminal, junto con el pago del comprador y también el depósito de seguridad.
La falla en cuestión es parte de una actualización reciente del protocolo de negociación, diseñado para mejorar la descentralización y eliminar terceros confiables de la plataforma.
Bisq resolvió el problema en pocas horas.
Bisq logró corregir el defecto en unas pocas horas, lo que permitió reanudar el comercio. Bisq se lanzó en testnet a fines de 2018 como un intercambio estructurado como una organización autónoma descentralizada (DAO).
Funciona de la misma manera que otros DEX, pero los usuarios pueden operar de forma anónima ya que no hay requisitos de registro o verificación de identidad. Con la plataforma basada en una red distribuida, cada usuario actúa efectivamente como un nodo.
Aunque los desarrolladores de Bisq han suspendido el comercio durante varias horas, la naturaleza descentralizada del intercambio hace posible que los usuarios ignoren la suspensión si lo desean. En la mayoría de los casos de un hack de intercambio, el hacker puede ser expulsado de la plataforma comercial para siempre.
Esto no se aplica a Bisq. Uno de los desarrolladores asociados a DEX dijo que, aunque la falla se había resuelto, no había nada que pudiera evitar que el atacante, cuya identidad no se puede conocer, inicie sesión y vuelva a operar en la plataforma. "Cualquiera puede usar Bisq, no hay censura", dijo el desarrollador. "Al igual que cualquiera puede usar bitcoin, no hay forma de descartar a nadie".
