Schimb descentralizat (DEX) Bisq a sunat alarma aseară după ce un hacker a exploatat un defect al software-ului pentru a fura criptomonedelor în valoare de peste 250.000 de dolari de la utilizatori.
Un defect integrat în noua actualizare
Bisq, care permite utilizatorilor să tranzacționeze criptomonede în mod anonim, a închis brusc platforma de tranzacționare marți după ce a descoperit „o vulnerabilitate critică de securitate”.
În prezent, bursa nu a lansat nicio informație cu privire la natura defectului sau siguranța fondurilor utilizatorilor. Dar la 18 ore după oprirea tranzacționării, Bisq a spus că a luat măsuri „fără precedent” după ce a descoperit că un atacator exploata o defecțiune a software-ului pentru a fura banii criptomonedelor de la alți utilizatori.
„Cu aproximativ 24 de ore în urmă, am descoperit că un atacator a reușit să exploateze un defect al protocolului comercial Bisq, vizând tranzacții individuale pentru a fura capitalul comercial.
Suntem conștienți de aproximativ 3 BTC și 4.000 XMR furate de 7 victime diferite. Aceasta este situația așa cum o cunoaștem până acum ”, a spus Bisq într-un comunicat. Valoarea criptomonedelor furate are o citat de aproximativ 22.000 dolari bitcoin (BTC) și 230.000 dolari monero (XMR).
Pentru a efectua furturile, atacatorul a reușit să stabilească adresa de rezervă implicită a altor utilizatori - destinația către care sunt trimise criptomonedele în caz de eșec al schimbului.
Prefăcându-se rolul vânzătorului, hackerul a început o tranzacție cu un cumpărător și a așteptat pur și simplu să se termine timpul. Activele digitale au fost apoi creditate criminalului, împreună cu plata cumpărătorului și, de asemenea, depozitul de garanție.
Defectul în cauză face parte dintr-o recentă actualizare a protocolului de tranzacționare, concepută pentru a îmbunătăți descentralizarea și a elimina terții de încredere de pe platformă.
Bisq a rezolvat problema în câteva ore
Bisq a reușit să corecteze defectul în câteva ore, permițând reluarea tranzacției. Bisq a fost lansat pe testnet la sfârșitul anului 2018 ca un schimb structurat ca o organizație autonomă descentralizată (DAO).
Funcționează în același mod ca și alte DEX-uri, dar utilizatorii pot funcționa anonim, deoarece nu există cerințe de înregistrare sau verificare a identității. Cu platforma bazată pe o rețea distribuită, fiecare utilizator acționează efectiv ca un nod.
Deși dezvoltatorii Bisq au suspendat tranzacționarea timp de câteva ore, caracterul descentralizat al schimbului face posibil ca utilizatorii să anuleze suspendarea dacă doresc acest lucru. În majoritatea cazurilor unui hack de schimb, hackerul poate fi dat afară din platforma de tranzacționare pentru totdeauna.
Acest lucru nu se aplică Bisq. Unul dintre dezvoltatorii asociați cu DEX a susținut că, deși eroarea a fost remediată, nu exista nimic care să poată împiedica atacatorul - a cărui identitate nu poate fi cunoscută - să se conecteze și să opereze din nou pe platformă. „Oricine poate folosi Bisq, nu există cenzură”, a spus dezvoltatorul. „La fel ca oricine poate folosi bitcoin, nu există nicio modalitate de a exclude pe nimeni.”
