De gedecentraliseerde centrale (DEX) Bisq luidde gisteravond de alarmsirene nadat een hacker een softwarefout had misbruikt om gebruikers meer dan $ 250.000 aan cryptocurrency te stelen.
Een fout geïntegreerd in de nieuwe update
Bisq, waarmee gebruikers anoniem cryptocurrencies kunnen verhandelen, heeft het handelsplatform dinsdag abrupt gedeactiveerd nadat "een kritieke beveiligingskwetsbaarheid" was ontdekt.
Op dit moment heeft de uitwisseling geen informatie vrijgegeven over de aard van het defect of de veiligheid van het geld van gebruikers. Maar 18 uur nadat hij was gestopt met handelen, zei Bisq dat hij een "ongekende" actie had ondernomen nadat hij had ontdekt dat een aanvaller een fout in de software misbruikte om cryptogeld van andere gebruikers te stelen.
“Ongeveer 24 uur geleden ontdekten we dat een aanvaller een defect in het commerciële protocol van Bisq kon misbruiken, waarbij hij zich richtte op individuele operaties om commercieel kapitaal te stelen.
We zijn op de hoogte van ongeveer 3 BTC en 4.000 XMR die zijn gestolen van 7 verschillende slachtoffers. Dit is de situatie zoals we die tot nu toe kennen ', zei Bisq in een verklaring. De gestolen cryptocurrency-waarde heeft er een citaat ongeveer $ 22.000 in bitcoin (BTC) en $ 230.000 in monero (XMR).
Om de diefstal uit te voeren, kon de aanvaller het standaard fallback-adres van andere gebruikers instellen - de bestemming waarnaar cryptocurrencies worden gestuurd in het geval van een uitval van de uitwisseling.
Door zich voor te doen als verkoper, startte de hacker een bedrijf met een koper en wachtte gewoon tot de tijd op was. De digitale activa werden vervolgens bijgeschreven op de crimineel, samen met de betaling van de koper en ook de borg.
De fout in kwestie maakt deel uit van een recente update van het handelsprotocol, ontworpen om de decentralisatie te verbeteren en betrouwbare derde partijen van het platform te verwijderen.
Bisq loste het probleem binnen een paar uur op
Bisq slaagde erin om het defect in een paar uur te verhelpen, waardoor de handel kon worden hervat. Bisq is eind 2018 op testnet uitgebracht als een uitwisseling die is gestructureerd als een gedecentraliseerde autonome organisatie (DAO).
Het werkt op vrijwel dezelfde manier als andere DEX's, maar gebruikers kunnen anoniem werken omdat er geen registratie- of identiteitsverificatie-eisen zijn. Met het platform op basis van een gedistribueerd netwerk, fungeert elke gebruiker effectief als een knooppunt.
Hoewel Bisq-ontwikkelaars de handel enkele uren hebben opgeschort, maakt het gedecentraliseerde karakter van de uitwisseling het voor gebruikers mogelijk om de opschorting te negeren als ze dat willen. In de meeste gevallen van een exchange-hack kan de hacker voor altijd van het handelsplatform worden verwijderd.
Dit geldt niet voor Bisq. Een van de met DEX geassocieerde ontwikkelaars zei dat hoewel de fout was opgelost, er niets was dat de aanvaller - wiens identiteit niet bekend is - kon verhinderen om in te loggen en opnieuw op het platform te werken. 'Iedereen kan Bisq gebruiken, er is geen censuur', zei de ontwikkelaar. "Net zoals iedereen bitcoin kan gebruiken, is er geen manier om iemand uit te sluiten."
