Desentralisert utveksling (DEX) Bisq slo alarm i går kveld etter at en hacker utnyttet en programvarefeil for å stjele over 250.000 XNUMX dollar i kryptovaluta fra brukere.
En feil innebygd i den nye oppdateringen
Bisq, som tillater brukere å handle kryptovalutaer anonymt, stengte brått av handelsplattformen på tirsdag etter å ha oppdaget "en kritisk sikkerhetssårbarhet".
For øyeblikket har ikke børsen gitt ut noen informasjon om defekten eller sikkerheten til brukernes midler. Men 18 timer etter å ha stoppet handelen, hevdet Bisq å ha tatt en "enestående" handling etter å ha oppdaget at en angriper utnyttet en feil i programvaren for å stjele kryptovaluta-penger fra andre brukere.
“For rundt 24 timer siden oppdaget vi at en angriper var i stand til å utnytte en feil i Bisq handelsprotokoll ved å målrette mot enkelte handler for å stjele handelskapital.
Vi er klar over rundt 3 BTC og 4.000 XMR stjålet av 7 forskjellige ofre. Dette er situasjonen slik vi kjenner den så langt, ”sa Bisq i en uttalelse. Verdien av stjålne kryptovalutaer har en sitat på omtrent $ 22.000 230.000 bitcoin (BTC) og $ XNUMX XNUMX monero (XMR).
For å gjennomføre tyveriene klarte angriperen å angi standard tilbakestillingsadresse til andre brukere - destinasjonen kryptovaluta sendes til i tilfelle utvekslingsfeil.
Han lot som selgers del, startet en virksomhet med en kjøper og ventet bare på at tiden skulle gå tom. De digitale eiendelene ble deretter kreditert kriminelle, sammen med kjøpers betaling og også sikkerhetsdepositumet.
Den aktuelle feilen er en del av en nylig oppdatering av handelsprotokollen, designet for å forbedre desentralisering og fjerne pålitelige tredjeparter fra plattformen.
Bisq løste problemet på få timer
Bisq klarte å rette opp mangelen på få timer, slik at handelen kunne gjenopptas. Bisq ble utgitt på testnet i slutten av 2018 som en børs strukturert som en desentralisert autonom organisasjon (DAO).
Det fungerer på omtrent samme måte som andre DEX-er, men brukere kan operere anonymt, da det ikke er krav til registrering eller identitetsbekreftelse. Med plattformen basert på et distribuert nettverk, fungerer hver bruker effektivt som en node.
Selv om Bisqs utviklere har stengt handel i flere timer, gjør den desentraliserte naturen til børsen det mulig for brukere å overstyre suspensjonen hvis de ønsker det. I de fleste tilfeller av et utvekslingshack kan hackeren bli sparket ut av handelsplattformen for alltid.
Dette gjelder ikke Bisq. En av utviklerne tilknyttet DEX hevdet at selv om feilen var løst, var det ingenting som kunne forhindre angriperen - hvis identitet ikke kan kjennes - fra å logge på og operere på plattformen igjen. "Alle kan bruke Bisq, det er ingen sensur," sa utvikleren. "Akkurat som alle kan bruke bitcoin, er det ingen måte å utelukke noen."
