Decentralizuotas keitimasis (DEX) „Bisq“ praėjusią naktį paskelbė pavojaus signalą, kai įsilaužėlis pasinaudojo programinės įrangos trūkumu ir pavogė iš vartotojų daugiau nei 250.000 XNUMX USD vertės kriptovaliutą.
Naujajame naujinime įdiegtas trūkumas
„Bisq“, leidžiantis vartotojams anonimiškai prekiauti kriptovaliutomis, antradienį staiga uždarė prekybos platformą, atradęs „kritinį saugumo pažeidžiamumą“.
Šiuo metu mainai nepateikė jokios informacijos apie defekto pobūdį ar vartotojų lėšų saugumą. Tačiau praėjus 18 valandų po prekybos nutraukimo „Bisq“ teigė, kad ėmėsi „precedento neturinčio“ veiksmo atradęs, kad užpuolikas pasinaudojo programinės įrangos trūkumu, kad iš kitų vartotojų pavogtų kriptovaliutų pinigus.
„Maždaug prieš 24 valandas mes pastebėjome, kad užpuolikas galėjo panaudoti„ Bisq “prekybos protokolo trūkumą, nukreipdamas atskirus sandorius, kad pavogtų prekybos kapitalą.
Mes žinome apie 3 BTC ir 4.000 XMR, pavogtus 7 skirtingų aukų. Tai tokia situacija, kokią mes iki šiol žinome “, - sakoma„ Bisq “pranešime. Pavogtų kriptovaliutų vertė turi a citata maždaug 22.000 230.000 JAV dolerių (BTC) ir XNUMX XNUMX JAV dolerių (XMR).
Kad įvykdytų vagystes, užpuolikas galėjo nustatyti numatytąjį atsarginį kitų vartotojų adresą - paskirties vietą, į kurią siunčiamos kriptovaliutos, įvykus keitimo sutrikimui.
Apsimetęs pardavėjo dalimi, įsilaužėlis pradėjo prekybą su pirkėju ir tiesiog laukė, kol baigsis laikas. Tada skaitmeninis turtas buvo įskaitytas į nusikaltėlį, kartu su pirkėjo mokėjimu ir užstatu.
Nagrinėjamas trūkumas yra naujausio prekybos protokolo atnaujinimo dalis, skirta pagerinti decentralizaciją ir pašalinti iš platformos patikimas trečiąsias šalis.
„Bisq“ išsprendė problemą per kelias valandas
„Bisq“ per kelias valandas pavyko ištaisyti defektą, leidžiantį atnaujinti prekybą. „Bisq“ buvo išleistas „testnet“ tinkle 2018 m. Pabaigoje kaip mainai, sudaryti kaip decentralizuota autonominė organizacija (DAO).
Jis veikia panašiai kaip ir kiti DEX, tačiau vartotojai gali veikti anonimiškai, nes nėra jokių registracijos ar tapatybės patvirtinimo reikalavimų. Kai platforma remiasi paskirstytu tinklu, kiekvienas vartotojas efektyviai veikia kaip mazgas.
Nors „Bisq“ kūrėjai kelioms valandoms sustabdė prekybą, decentralizuotas mainų pobūdis leidžia vartotojams, jei jie to nori, panaikinti sustabdymą. Dažniausiai įsilaužus į biržą, įsilaužėlis gali būti pašalintas iš prekybos platformos visiems laikams.
Tai netaikoma „Bisq“. Vienas iš su DEX susijusių kūrėjų teigė, kad nors trūkumas buvo pašalintas, niekas negalėjo trukdyti užpuolikui - kurio tapatybės negalima žinoti - vėl prisijungti ir veikti platformoje. "Kiekvienas gali naudoti" Bisq ", nėra cenzūros", - sakė kūrėjas. "Kaip ir bet kas gali naudoti bitkoiną, niekaip negalima jo atmesti".
