Pertukaran Terdesentralisasi (DEX) Bisq membunyikan alarm tadi malam setelah seorang peretas mengeksploitasi cacat perangkat lunak untuk mencuri lebih dari $ 250.000 cryptocurrency dari pengguna.
Cacat bawaan pada pembaruan baru
Bisq, yang memungkinkan pengguna untuk berdagang cryptocurrency secara anonim, tiba-tiba menonaktifkan platform perdagangan pada hari Selasa setelah menemukan "kerentanan keamanan kritis".
Saat ini, bursa belum merilis informasi apa pun tentang sifat cacat atau keamanan dana pengguna. Tetapi 18 jam setelah menghentikan perdagangan, Bisq mengatakan itu mengambil tindakan "belum pernah terjadi sebelumnya" setelah menemukan bahwa penyerang mengeksploitasi cacat dalam perangkat lunak untuk mencuri uang cryptocurrency dari pengguna lain.
“Sekitar 24 jam yang lalu, kami menemukan bahwa penyerang dapat mengeksploitasi kelemahan dalam protokol perdagangan Bisq dengan menargetkan perdagangan individu untuk mencuri modal perdagangan.
Kami mengetahui sekitar 3 BTC dan 4.000 XMR dicuri oleh 7 korban berbeda. Ini situasi yang kita ketahui selama ini, ”kata Bisq dalam sebuah pernyataan. Nilai cryptocurrency yang dicuri memiliki a kutipan dari sekitar $ 22.000 bitcoin (BTC) dan $ 230.000 monero (XMR).
Untuk melakukan pencurian, penyerang dapat mengatur alamat cadangan default dari pengguna lain - tujuan pengiriman cryptocurrency jika terjadi kegagalan pertukaran.
Berpura-pura menjadi bagian dari penjual, peretas memulai bisnis dengan pembeli dan hanya menunggu waktu habis. Aset digital tersebut kemudian dikreditkan ke penjahat, bersama dengan pembayaran pembeli dan juga uang jaminan.
Cacat yang dimaksud adalah bagian dari pembaruan protokol perdagangan baru-baru ini, yang dirancang untuk meningkatkan desentralisasi dan menghapus pihak ketiga tepercaya dari platform.
Bisq memecahkan masalah dalam beberapa jam
Bisq berhasil memperbaiki kerusakan dalam beberapa jam, memungkinkan aktivitas perdagangan dilanjutkan. Bisq dirilis di testnet pada akhir 2018 sebagai pertukaran terstruktur sebagai organisasi otonom terdesentralisasi (DAO).
Cara kerjanya hampir sama dengan DEX lainnya, tetapi pengguna dapat beroperasi secara anonim karena tidak ada persyaratan pendaftaran atau verifikasi identitas. Dengan platform yang didasarkan pada jaringan terdistribusi, setiap pengguna secara efektif bertindak sebagai node.
Meskipun pengembang Bisq telah menangguhkan perdagangan selama beberapa jam, sifat pertukaran yang terdesentralisasi memungkinkan pengguna untuk mengganti penangguhan jika mereka menginginkannya. Dalam kebanyakan kasus peretasan pertukaran, peretas dapat dikeluarkan dari platform perdagangan selamanya.
Ini tidak berlaku untuk Bisq. Salah satu pengembang yang terkait dengan DEX mengklaim bahwa meskipun cacat telah diperbaiki, tidak ada yang dapat mencegah penyerang - yang identitasnya tidak dapat diketahui - untuk masuk dan beroperasi di platform lagi. “Siapapun dapat menggunakan Bisq, tidak ada sensor,” kata pengembang tersebut. "Sama seperti siapa pun yang dapat menggunakan bitcoin, tidak ada cara untuk mengecualikan siapa pun."
