Вчера вечером децентрализованный обмен (DEX) Bisq забил тревожную сирену после того, как хакер воспользовался программным дефектом, чтобы украсть у пользователей криптовалюту на сумму более 250.000 XNUMX долларов.
Недостаток, интегрированный в новое обновление
Bisq, который позволяет пользователям торговать криптовалютами анонимно, внезапно деактивировал торговую платформу во вторник после обнаружения «критической уязвимости безопасности».
На данный момент биржа не обнародовала никакой информации о характере дефекта или сохранности средств пользователей. Но через 18 часов после прекращения торговли Биск заявил, что предпринял «беспрецедентное» действие, обнаружив, что злоумышленник использует уязвимость в программном обеспечении для кражи криптовалюты у других пользователей.
«Около 24 часов назад мы обнаружили, что злоумышленник может использовать дефект в коммерческом протоколе Bisq, ориентируясь на отдельные операции с целью кражи коммерческого капитала.
Нам известно о приблизительно 3 BTC и 4.000 XMR, похищенных у 7 разных жертв. Это ситуация, как мы ее знаем, "сказал Биск в своем заявлении. У украденной криптовалюты цитата около 22.000 230.000 долларов в биткойнах (BTC) и XNUMX XNUMX долларов в монеро (XMR).
Для совершения краж злоумышленник смог установить резервный адрес по умолчанию для других пользователей - место назначения, в которое отправляются криптовалюты в случае сбоя обмена.
Притворяясь продавцом, хакер завел бизнес с покупателем и просто ждал, пока закончится время. Цифровые активы были затем зачислены преступнику вместе с платежом покупателя, а также гарантийным депозитом.
Данный недостаток является частью недавнего обновления торгового протокола, предназначенного для улучшения децентрализации и удаления надежных третьих сторон с платформы.
Биск решил проблему за несколько часов
Bisq удалось исправить дефект за несколько часов, что позволило возобновить торговлю. Bisq был выпущен в тестовой сети в конце 2018 года как биржа, структурированная как децентрализованная автономная организация (DAO).
Он работает во многом так же, как и другие DEX, но пользователи могут работать анонимно, так как нет требований к регистрации или проверке личности. С платформой, основанной на распределенной сети, каждый пользователь эффективно действует как узел.
Несмотря на то, что разработчики Bisq приостановили торговлю на несколько часов, децентрализованный характер обмена позволяет пользователям игнорировать приостановку, если они того пожелают. В большинстве случаев биржевого взлома хакер может быть исключен из торговой платформы навсегда.
Это не относится к Bisq. Один из разработчиков, связанных с DEX, сказал, что, хотя ошибка была устранена, ничто не могло помешать злоумышленнику - чья личность не может быть известна - снова получить доступ к платформе и работать с ней. «Любой может использовать Bisq, цензуры нет», - сказал разработчик. «Точно так же, как любой может использовать биткойн, нет способа исключить кого-либо».
