Decentralizirana borza (DEX) Bisq je sinoči sprožila alarm, potem ko je heker izkoristil napako programske opreme in uporabnikom ukradel kriptovaluto v vrednosti več kot 250.000 USD.
Napaka, vgrajena v novo posodobitev
Bisq, ki uporabnikom omogoča anonimno trgovanje s kriptovalutami, je v torek po odkritju "kritične varnostne ranljivosti" nenadoma deaktiviral trgovalno platformo.
Trenutno borza ni objavila nobenih informacij o naravi napake ali varnosti sredstev uporabnikov. Toda 18 ur po prenehanju trgovanja je Bisq dejal, da je ukrepal brez primere, potem ko je odkril, da je napadalec izkoriščal napako v programski opremi, da bi drugim uporabnikom ukradel denar za kriptovalute.
»Pred približno 24 urami smo odkrili, da je napadalec lahko izkoristil napako v trgovinskem protokolu Bisq s ciljanjem na posamezne posle, da bi ukradel trgovalni kapital.
Zavedamo se približno 3 BTC in 4.000 XMR, ki jih je ukradlo 7 različnih žrtev. Takšno stanje poznamo doslej, «je dejal Bisq v izjavi. Vrednost ukradenih kriptovalut ima citat približno 22.000 dolarjev bitcoinov (BTC) in 230.000 dolarjev monera (XMR).
Za izvedbo tatvin je napadalcu uspelo nastaviti privzeti nadomestni naslov drugih uporabnikov - cilj, na katerega se pošljejo kriptovalute v primeru okvare menjave.
Pretvarjajoč se del prodajalca je heker začel poslovati s kupcem in preprosto čakal, da zmanjka časa. Digitalna sredstva so bila nato pripisana zločincu, skupaj s plačilom kupca in tudi varščino.
Zadevna napaka je del nedavne posodobitve protokola trgovanja, namenjene izboljšanju decentralizacije in odstranjevanju zaupanja vrednih tretjih oseb s platforme.
Bisq je težavo rešil v nekaj urah
Bisqu je v nekaj urah uspelo odpraviti napako, kar je omogočilo nadaljevanje trgovinskih dejavnosti. Bisq je bil na testnetu objavljen konec leta 2018 kot izmenjava, strukturirana kot decentralizirana avtonomna organizacija (DAO).
Deluje podobno kot drugi DEX-ji, vendar lahko uporabniki delujejo anonimno, saj ni zahtev za registracijo ali preverjanje identitete. S platformo, ki temelji na porazdeljenem omrežju, vsak uporabnik učinkovito deluje kot vozlišče.
Čeprav so Biscovi razvijalci za nekaj ur ustavili trgovanje, decentralizirana narava borze omogoča uporabnikom, da prekličejo prekinitev, če tako želijo. V večini primerov hekerskega vdora je hekerja mogoče za vedno izbiti iz trgovalne platforme.
To ne velja za Bisq. Eden od razvijalcev, povezanih z DEX, je trdil, da čeprav je bila napaka odpravljena, napadalec, katerega identiteta ni znana, ni mogel preprečiti, da bi se ponovno prijavil in deloval na platformi. "Bisq lahko uporablja vsak, cenzure ni," je dejal razvijalec. "Tako kot lahko vsakdo uporablja bitcoin, ni mogoče nikogar izključiti."
