Decentralised exchange (DEX) Bisq slog larm i går kväll efter att en hacker utnyttjat en programvarufel för att stjäla mer än 250.000 XNUMX dollar i kryptovaluta från användare.
En fel inbyggd i den nya uppdateringen
Bisq, som tillåter användare att handla kryptovalutor anonymt, stängde plötsligt av handelsplattformen på tisdag efter att ha upptäckt "en kritisk säkerhetsproblem".
För närvarande har börsen inte släppt någon information om defektens art eller säkerheten för användarnas medel. Men 18 timmar efter att han slutat handla sa Bisq att han vidtagit en "aldrig tidigare skådad" åtgärd efter att ha upptäckt att en angripare utnyttjade en brist i programvaran för att stjäla kryptovalutapengar från andra användare.
”För ungefär 24 timmar sedan upptäckte vi att en angripare kunde utnyttja en brist i Bisq-handelsprotokollet genom att rikta in sig på enskilda affärer för att stjäla handelskapital.
Vi är medvetna om cirka 3 BTC och 4.000 7 XMR som stulits av XNUMX olika offer. Detta är den situation som vi känner till hittills, säger Bisq i ett uttalande. Värdet av stulna kryptovalutor har en offert på cirka 22.000 230.000 dollar bitcoin (BTC) och XNUMX XNUMX dollar monero (XMR).
För att utföra stölderna kunde angriparen ange standardanvändningsadress för andra användare - destinationen till vilken kryptovalutor skickas i händelse av ett utbytesfel.
När han låtsades säljarens del startade hackaren ett företag med en köpare och väntade helt enkelt på att tiden skulle ta slut. De digitala tillgångarna krediterades sedan brottslingen, tillsammans med köparens betalning och även depositionen.
Felet i fråga är en del av en nyligen uppdaterad uppdatering av handelsprotokollet, utformat för att förbättra decentralisering och ta bort betrodda tredje parter från plattformen.
Bisq löste problemet på några timmar
Bisq lyckades korrigera bristen på några timmar, vilket gjorde att handelsaktiviteter kunde återupptas. Bisq släpptes på testnet i slutet av 2018 som ett utbyte strukturerat som en decentraliserad autonom organisation (DAO).
Det fungerar på ungefär samma sätt som andra DEX, men användare kan fungera anonymt eftersom det inte finns några krav på registrering eller identitetsverifiering. Med plattformen baserad på ett distribuerat nätverk fungerar varje användare effektivt som en nod.
Även om Bisq-utvecklarna har avbrutit handeln i flera timmar, gör börsens decentraliserade karaktär det möjligt för användare att åsidosätta avstängningen om de så önskar. I de flesta fall av ett utbyteshack kan hackaren sparkas ut ur handelsplattformen för alltid.
Detta gäller inte Bisq. En av utvecklarna som är associerade med DEX hävdade att även om felet hade åtgärdats fanns det inget som kunde hindra angriparen - vars identitet inte kan kännas - från att logga in och fungera på plattformen igen. "Vem som helst kan använda Bisq, det finns ingen censur", sa utvecklaren. "Precis som vem som helst kan använda bitcoin finns det inget sätt att utesluta någon."
