L’exchange decentralizzato (DEX) Bisq ha suonato la sirena d’allarme la scorsa notte dopo che un hacker ha sfruttato un difetto del software per rubare agli utenti oltre 250.000 $ di criptovaluta.
Un difetto integrato nel nuovo aggiornamento
Bisq, che consente agli utenti di scambiare criptovalute in modo anonimo, ha disattivato bruscamente la piattaforma di trading martedì dopo aver scoperto “una vulnerabilità critica nella sicurezza”.
Al momento, l’exchange non ha rilasciato alcuna informazione sulla natura del difetto o sulla sicurezza dei fondi degli utenti. Ma 18 ore dopo aver interrotto il trading, Bisq ha affermato di aver compiuto un’azione “senza precedenti” dopo aver scoperto che un utente malintenzionato stava sfruttando un difetto nel software per rubare denaro in criptovaluta da altri utenti.
“Circa 24 ore fa, abbiamo scoperto che un utente malintenzionato era in grado di sfruttare un difetto del protocollo commerciale Bisq, prendendo di mira singole operazioni al fine di rubare il capitale commerciale.
Siamo a conoscenza di circa 3 BTC e 4.000 XMR rubati da 7 diverse vittime. Questa è la situazione così come la conosciamo finora “, ha detto Bisq in una dichiarazione. Il valore delle criptovalute rubato ha una quotazione di circa 22.000 $ di bitcoin (BTC) e 230.000 $ di monero (XMR).
Per eseguire i furti, l’aggressore è stato in grado di impostare l’indirizzo di fallback predefinito di altri utenti – la destinazione a cui vengono inviate le criptovalute in caso di fallimento di un exchange.
Fingendo la parte del venditore, il pirata informatico ha iniziato un commercio con un acquirente e semplicemente ha aspettato che il tempo scadesse. Le risorse digitali sono quindi state accreditate al criminale, insieme al pagamento dell’acquirente ed anche al deposito cauzionale.
Il difetto in questione fa parte di un recente aggiornamento del protocollo di trading, progettato per migliorare il decentramento e rimuovere terze parti affidabili dalla piattaforma.
Bisq ha risolto il problema in poche ore
Bisq è riuscito a correggere il difetto in poche ore, consentendo di riprendere le attività di trading. Bisq è stato rilasciato su testnet alla fine del 2018 come exchange strutturato come organizzazione autonoma decentralizzata (DAO).
Funziona più o meno allo stesso modo degli altri DEX, ma gli utenti possono operare in modo anonimo in quanto non vi sono requisiti di registrazione o di verifica dell’identità. Con la piattaforma basata su una rete distribuita, ogni utente agisce efficacemente come nodo.
Sebbene gli sviluppatori di Bisq abbiano sospeso il trading per diverse ore, la natura decentralizzata dell’exchange rende possibile agli utenti di ignorare la sospensione se lo desiderino. Nella maggior parte dei casi di hack di un exchange, l’hacker può essere espulso dalla piattaforma di trading per sempre.
Questo non vale per Bisq. Uno degli sviluppatori associati al DEX ha affermato che sebbene il difetto fosse stato risolto, non c’era nulla che potesse impedire all’aggressore – la cui identità non si può conoscere – di accedere e operare di nuovo sulla piattaforma. “Chiunque può usare Bisq, non c’è censura”, ha detto lo sviluppatore. “Proprio come chiunque può usare bitcoin, non c’è modo di escludere nessuno.”
