Pertukaran terdesentralisasi (DEX) Bisq membunyikan penggera malam tadi setelah penggodam mengeksploitasi cacat perisian untuk mencuri cryptocurrency bernilai lebih dari $ 250.000 daripada pengguna.
Kekurangan yang terdapat dalam kemas kini baru
Bisq, yang membolehkan pengguna memperdagangkan cryptocurrency tanpa nama, secara tiba-tiba menutup platform perdagangan pada hari Selasa setelah menemui "kerentanan keselamatan kritikal".
Pada masa ini, pertukaran belum mengeluarkan maklumat mengenai sifat kerosakan atau keselamatan dana pengguna. Tetapi 18 jam setelah berhenti berdagang, Bisq mengaku telah mengambil tindakan "belum pernah terjadi sebelumnya" setelah mengetahui bahawa penyerang mengeksploitasi kekurangan dalam perisian untuk mencuri wang cryptocurrency dari pengguna lain.
"Kira-kira 24 jam yang lalu, kami mendapati penyerang dapat memanfaatkan kekurangan dalam protokol perdagangan Bisq dengan menargetkan perdagangan individu untuk mencuri modal perdagangan.
Kami menyedari sekitar 3 BTC dan 4.000 XMR dicuri oleh 7 mangsa yang berbeza. Ini adalah keadaan seperti yang kita ketahui sejauh ini, ”kata Bisq dalam satu kenyataan. Nilai cryptocurrency yang dicuri mempunyai sebut harga kira-kira $ 22.000 bitcoin (BTC) dan $ 230.000 monero (XMR).
Untuk melakukan kecurian, penyerang dapat menetapkan alamat penggantian lalai pengguna lain - destinasi ke mana cryptocurrency dihantar sekiranya berlaku pertukaran pertukaran.
Memura-pura bahagian penjual, penggodam memulakan perdagangan dengan pembeli dan hanya menunggu masa untuk habis. Aset digital kemudian dikreditkan kepada penjenayah, bersama dengan pembayaran pembeli dan juga wang jaminan.
Kekurangan yang dimaksudkan adalah sebahagian daripada kemas kini baru pada protokol perdagangan, yang dirancang untuk meningkatkan desentralisasi dan mengeluarkan pihak ketiga yang dipercayai dari platform.
Bisq menyelesaikan masalah dalam beberapa jam
Bisq berjaya memperbaiki kerosakan dalam beberapa jam, sehingga membolehkan aktiviti perdagangan disambung semula. Bisq dilancarkan di testnet pada akhir 2018 sebagai pertukaran yang disusun sebagai organisasi autonomi terdesentralisasi (DAO).
Ia berfungsi dengan cara yang sama seperti DEX lain, tetapi pengguna dapat beroperasi tanpa nama kerana tidak ada keperluan pendaftaran atau pengesahan identiti. Dengan platform berdasarkan rangkaian yang diedarkan, setiap pengguna secara efektif bertindak sebagai simpul.
Walaupun pemaju Bisq telah menangguhkan perdagangan selama beberapa jam, sifat pertukaran yang terdesentralisasi memungkinkan pengguna untuk mengganti penggantungan jika mereka menginginkannya. Dalam kebanyakan kes penggodaman pertukaran, penggodam dapat dikeluarkan dari platform perdagangan selama-lamanya.
Ini tidak berlaku untuk Bisq. Salah satu pembangun yang berkaitan dengan DEX mendakwa bahawa walaupun cacatnya telah diperbaiki, tidak ada yang dapat menghalang penyerang - yang identitinya tidak dapat diketahui - dari masuk dan beroperasi di platform lagi. "Sesiapa sahaja boleh menggunakan Bisq, tidak ada penapisan," kata pemaju. "Sama seperti orang yang boleh menggunakan bitcoin, tidak ada cara untuk mengecualikan sesiapa pun."
