A exchange descentralizada (DEX) Bisq tocou a sirene de alarme na noite passada depois que um hacker explorou um defeito de software para roubar usuários com mais de US $ 250.000 em criptomoeda.
Uma falha integrada na nova atualização
O Bisq, que permite aos usuários negociar criptomoedas anonimamente, desativou abruptamente a plataforma de negociação na terça-feira, depois de descobrir "uma vulnerabilidade crítica de segurança".
No momento, a troca não divulgou nenhuma informação sobre a natureza do defeito ou a segurança dos fundos dos usuários. Mas 18 horas depois de interromper as negociações, Bisq alegou ter tomado uma ação "sem precedentes" depois de descobrir que um invasor estava explorando uma falha no software para roubar dinheiro de criptomoedas de outros usuários.
“Cerca de 24 horas atrás, descobrimos que um invasor era capaz de explorar um defeito no protocolo comercial do Bisq visando operações individuais para roubar capital comercial.
Estamos cientes de aproximadamente 3 BTC e 4.000 XMR roubados de 7 vítimas diferentes. Esta é a situação que a conhecemos até agora ", afirmou Bisq em comunicado. O valor da criptomoeda roubada tem um citação cerca de US $ 22.000 em bitcoin (BTC) e US $ 230.000 em monero (XMR).
Para realizar os roubos, o invasor conseguiu definir o endereço de fallback padrão de outros usuários - o destino para o qual as criptomoedas são enviadas no caso de uma falha na troca.
Ao fingir ser o vendedor, o hacker iniciou um negócio com um comprador e simplesmente esperou o tempo acabar. Os ativos digitais foram então creditados ao criminoso, juntamente com o pagamento do comprador e também o depósito de segurança.
A falha em questão faz parte de uma atualização recente do protocolo de negociação, projetado para melhorar a descentralização e remover terceiros confiáveis da plataforma.
Bisq resolveu o problema em poucas horas
Bisq conseguiu corrigir o defeito em poucas horas, permitindo a retomada da negociação. Bisq foi lançado na testnet no final de 2018 como uma bolsa estruturada como uma organização autônoma descentralizada (DAO).
Funciona da mesma maneira que outros DEXs, mas os usuários podem operar anonimamente, pois não há requisitos de registro ou verificação de identidade. Com a plataforma baseada em uma rede distribuída, cada usuário atua efetivamente como um nó.
Embora os desenvolvedores do Bisq tenham suspendido a negociação por várias horas, a natureza descentralizada da troca possibilita que os usuários ignorem a suspensão, se assim o desejarem. Na maioria dos casos de um hack de troca, o hacker pode ser expulso da plataforma de negociação para sempre.
Isso não se aplica ao Bisq. Um dos desenvolvedores associados ao DEX disse que, embora a falha tenha sido resolvida, não havia nada que pudesse impedir o invasor - cuja identidade não é conhecida - de efetuar login e operar novamente na plataforma. "Qualquer um pode usar o Bisq, não há censura", disse o desenvolvedor. "Assim como qualquer pessoa pode usar bitcoin, não há como excluir ninguém."
