Zdecentralizowana giełda (DEX) Bisq uruchomiła wczoraj w nocy syrenę alarmową po tym, jak haker wykorzystał defekt oprogramowania, aby ukraść użytkowników kryptowalut o wartości ponad 250.000 XNUMX USD.
Błąd zintegrowany z nową aktualizacją
Bisq, który pozwala użytkownikom na anonimowy handel kryptowalutami, nagle wyłączył platformę transakcyjną we wtorek po wykryciu „krytycznej luki w zabezpieczeniach”.
Na chwilę obecną giełda nie ujawniła żadnych informacji o naturze usterki ani o bezpieczeństwie środków użytkowników. Jednak 18 godzin po zaprzestaniu handlu, Bisq powiedział, że podjął „bezprecedensową” akcję po odkryciu, że osoba atakująca wykorzystywała lukę w oprogramowaniu, aby ukraść pieniądze w kryptowalutach od innych użytkowników.
„Około 24 godziny temu dowiedzieliśmy się, że atakujący był w stanie wykorzystać lukę w protokole handlowym Bisq, atakując poszczególne operacje w celu kradzieży kapitału komercyjnego.
Wiemy o około 3 BTC i 4.000 XMR skradzionych 7 różnym ofiarom. To jest sytuacja, jaką znamy do tej pory ”- powiedział Bisq w oświadczeniu. Wartość skradzionej kryptowaluty ma jeden cytat około 22.000 230.000 $ w bitcoinach (BTC) i XNUMX XNUMX $ w monero (XMR).
Aby dokonać kradzieży, atakujący mógł ustawić domyślny adres zastępczy innych użytkowników - miejsce docelowe, do którego kryptowaluty są wysyłane w przypadku niepowodzenia wymiany.
Udając sprzedającego, haker rozpoczął biznes z kupującym i po prostu czekał, aż skończy się czas. Aktywa cyfrowe zostały następnie przekazane przestępcy wraz z płatnością kupującego oraz depozytem zabezpieczającym.
Omawiana wada jest częścią niedawnej aktualizacji protokołu handlowego, mającego na celu poprawę decentralizacji i usunięcie wiarygodnych stron trzecich z platformy.
Bisq rozwiązał problem w kilka godzin
Bisq zdołał naprawić usterkę w kilka godzin, umożliwiając wznowienie handlu. Bisq został wydany w sieci testnet pod koniec 2018 roku jako giełda o strukturze zdecentralizowanej autonomicznej organizacji (DAO).
Działa w podobny sposób, jak inne DEX, ale użytkownicy mogą działać anonimowo, ponieważ nie ma wymagań dotyczących rejestracji ani weryfikacji tożsamości. Dzięki platformie opartej na sieci rozproszonej każdy użytkownik działa efektywnie jako węzeł.
Chociaż programiści Bisq zawiesili obrót na kilka godzin, zdecentralizowany charakter giełdy umożliwia użytkownikom zignorowanie zawieszenia, jeśli chcą. W większości przypadków włamania do giełdy haker może zostać na zawsze usunięty z platformy handlowej.
Nie dotyczy to Bisq. Jeden z programistów związanych z DEX powiedział, że chociaż usterka została naprawiona, nic nie mogło powstrzymać atakującego - którego tożsamości nie można poznać - przed zalogowaniem się i ponownym działaniem na platformie. „Każdy może korzystać z Bisq, nie ma cenzury” - powiedział deweloper. „Tak jak każdy może używać bitcoina, nie ma możliwości wykluczenia kogokolwiek”.
