Hajautettu vaihto (DEX) Bisq antoi hälytyksen viime yönä sen jälkeen, kun hakkeri hyödynsi ohjelmistovirhettä varastaa käyttäjiltä yli 250.000 XNUMX dollaria kryptovaluutta.
Uuteen päivitykseen rakennettu virhe
Bisq, jonka avulla käyttäjät voivat käydä kauppaa kryptovaluutoilla nimettömästi, sulki kaupankäyntialustan äkillisesti tiistaina löydettyään "kriittisen tietoturva-aukon".
Tällä hetkellä vaihto ei ole julkaissut tietoja vian luonteesta tai käyttäjien varojen turvallisuudesta. Mutta 18 tuntia kaupankäynnin lopettamisen jälkeen Bisq väitti toteuttaneensa "ennennäkemättömän" toiminnan havaittuaan, että hyökkääjä hyödynsi ohjelmiston puutetta varastamaan kryptovaluutta rahaa muilta käyttäjiltä.
Noin 24 tuntia sitten huomasimme, että hyökkääjä pystyi hyödyntämään Bisq-kauppaprotokollan puutetta kohdistamalla yksittäisiä kauppoja varastamaan kauppapääomaa.
Olemme tietoisia noin kolmesta BTC: stä ja 3 XMR: stä, joita 4.000 erilaista uhria on varastanut. Tämä on tilanne sellaisena kuin me sen tunnemme ”, Bisq sanoi lausunnossaan. Varastettujen kryptovaluuttojen arvolla on lainaus noin $ 22.000 bitcoinista (BTC) ja $ 230.000 moneroista (XMR).
Varkauksien suorittamiseksi hyökkääjä pystyi asettamaan muiden käyttäjien oletusvarausosoitteen - määränpään, johon kryptovaluutat lähetetään vaihdon epäonnistumisen yhteydessä.
Teeskentelemällä myyjän osuutta hakkeri aloitti kaupan ostajan kanssa ja vain odotti ajan loppumista. Digitaaliset varat hyvitettiin sitten rikolliselle yhdessä ostajan maksun ja myös vakuuden kanssa.
Kyseinen vika on osa kauppaprotokollan äskettäistä päivitystä, jonka tarkoituksena on parantaa hajauttamista ja poistaa luotetut kolmannet osapuolet alustalta.
Bisq ratkaisi ongelman muutamassa tunnissa
Bisq onnistui korjaamaan vian muutamassa tunnissa, jolloin kaupankäynti jatkui. Bisq julkaistiin testnetissä vuoden 2018 loppupuolella hajautettuna autonomisena organisaationa (DAO) rakennettuna pörssinä.
Se toimii samalla tavalla kuin muut DEX: t, mutta käyttäjät voivat toimia nimettömästi, koska rekisteröintiä tai henkilöllisyyden vahvistamista ei vaadita. Hajautettuun verkkoon perustuvan alustan ansiosta kukin käyttäjä toimii tehokkaasti solmuna.
Vaikka Bisqin kehittäjät ovat keskeyttäneet kaupankäynnin useita tunteja, vaihdon hajautettu luonne antaa käyttäjille mahdollisuuden ohittaa keskeyttämisen, jos he niin haluavat. Useimmissa tapauksissa pörssihakkeri, hakkeri voidaan potkia pois kaupankäyntialustalta ikuisesti.
Tämä ei koske Bisqia. Yksi DEX: ään liittyvistä kehittäjistä väitti, että vaikka virhe oli korjattu, mikään ei estä hyökkääjää - jonka henkilöllisyyttä ei voida tietää - kirjautumasta sisään ja toimimalla alustalla uudelleen. "Kuka tahansa voi käyttää Bisqiä, sensuuria ei ole", kehittäjä sanoi. "Aivan kuten kuka tahansa voi käyttää bitcoinia, ketään ei voida sulkea pois."
