Decentralizētā apmaiņa (DEX) Bisq pagājušajā naktī izsauca trauksmi pēc tam, kad hakeris izmantoja programmatūras kļūdu, lai no lietotājiem nozagtu kriptonauda vairāk nekā USD 250.000 XNUMX vērtībā.
Jaunajā atjauninājumā iebūvēts trūkums
Bisq, kas ļauj lietotājiem anonīmi tirgoties ar kriptovalūtām, otrdien pēkšņi deaktivizēja tirdzniecības platformu, atklājot "kritisku drošības ievainojamību".
Pašlaik apmaiņa nav publiskojusi nekādu informāciju par defekta būtību vai lietotāju līdzekļu drošību. Bet 18 stundas pēc tirdzniecības pārtraukšanas Bisq teica, ka pēc tam, kad atklāja, ka uzbrucējs izmanto programmatūras kļūdu, lai nozagtu kriptonauda naudu no citiem lietotājiem, tā veica "bezprecedenta" darbības.
„Apmēram pirms 24 stundām mēs atklājām, ka uzbrucējs varēja izmantot Bisq tirdzniecības protokola trūkumu, mērķējot uz atsevišķiem darījumiem, lai nozagtu tirdzniecības kapitālu.
Mēs zinām, ka apmēram 3 BTC un 4.000 XMR nozaga 7 dažādi upuri. Šī ir situācija, kāda mums līdz šim ir zināma, ”teikts Biska paziņojumā. Nozagto kriptovalūtu vērtībai ir a citāts aptuveni $ 22.000 230.000 bitcoin (BTC) un USD XNUMX XNUMX monero (XMR).
Lai veiktu zādzības, uzbrucējs varēja iestatīt citu lietotāju noklusējuma rezerves adresi - galamērķi, uz kuru apmaiņas kļūmes gadījumā tiek sūtītas kriptovalūtas.
Izliekoties par pārdevēja daļu, hakeris uzsāka biznesu ar pircēju un vienkārši gaidīja, kamēr beigsies laiks. Pēc tam digitālie aktīvi tika ieskaitīti noziedzniekam, kā arī pircēja maksājums un arī drošības nauda.
Attiecīgais trūkums ir daļa no nesenā tirdzniecības protokola atjauninājuma, kas paredzēts, lai uzlabotu decentralizāciju un noņemtu uzticamas trešās personas no platformas.
Bisq problēmu atrisināja dažu stundu laikā
Bisq dažu stundu laikā izdevās novērst defektu, ļaujot atsākt tirdzniecību. Bisq tika izlaists testnetā 2018. gada beigās kā apmaiņa, kas strukturēta kā decentralizēta autonoma organizācija (DAO).
Tas darbojas līdzīgi kā citi DEX, taču lietotāji var darboties anonīmi, jo nav reģistrācijas vai identitātes pārbaudes prasību. Izmantojot platformu, kuras pamatā ir izplatīts tīkls, katrs lietotājs faktiski darbojas kā mezgls.
Kaut arī Bisq izstrādātāji ir apturējuši tirdzniecību uz vairākām stundām, biržas decentralizētais raksturs ļauj lietotājiem, ja viņi to vēlas, ignorēt apturēšanu. Lielākajā daļā valūtas uzlaušanas gadījumu hakeri var izdzīt no tirdzniecības platformas uz visiem laikiem.
Tas neattiecas uz Bisq. Viens no izstrādātājiem, kas saistīti ar DEX, apgalvoja, ka, lai arī kļūda tika novērsta, nekas nevarēja traucēt uzbrucējam - kura identitāti nevar zināt - atkal piekļūt platformai un darboties tajā. "Ikviens var izmantot Bisq, nav cenzūras," teica izstrādātājs. "Tāpat kā ikviens var izmantot bitcoīnu, nav iespēju nevienu izslēgt."
