แฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องในการแลกเปลี่ยน Bisq แบบกระจายอำนาจเพื่อขโมยเงิน 250.000 ดอลลาร์ในสกุลเงินดิจิทัล

การแลกเปลี่ยนแบบกระจายอำนาจ (DEX) Bisq ส่งเสียงเตือนเมื่อคืนที่ผ่านมาหลังจากแฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องของซอฟต์แวร์เพื่อขโมยเงินดิจิทัลมูลค่ากว่า 250.000 ดอลลาร์จากผู้ใช้

ข้อบกพร่องที่มีอยู่ในการอัปเดตใหม่

Bisq ซึ่งอนุญาตให้ผู้ใช้ซื้อขายสกุลเงินดิจิทัลโดยไม่เปิดเผยตัวตนได้ปิดใช้งานแพลตฟอร์มการซื้อขายทันทีในวันอังคารหลังจากพบ "ช่องโหว่ด้านความปลอดภัยที่สำคัญ"

ในปัจจุบันการแลกเปลี่ยนไม่ได้เปิดเผยข้อมูลใด ๆ เกี่ยวกับลักษณะของข้อบกพร่องหรือความปลอดภัยของเงินของผู้ใช้ แต่ 18 ชั่วโมงหลังจากหยุดการซื้อขาย Bisq อ้างว่าได้ดำเนินการ "อย่างไม่เคยมีมาก่อน" หลังจากพบว่าผู้โจมตีใช้ประโยชน์จากข้อบกพร่องในซอฟต์แวร์เพื่อขโมยเงินสกุลเงินดิจิทัลจากผู้ใช้รายอื่น

“ ประมาณ 24 ชั่วโมงที่ผ่านมาเราพบว่าผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องในโปรโตคอลการค้าของ Bisq โดยกำหนดเป้าหมายการซื้อขายแต่ละรายการเพื่อขโมยเงินทุนทางการค้า

เราทราบถึง 3 BTC และ 4.000 XMR ที่เหยื่อ 7 รายถูกขโมยไป นี่เป็นสถานการณ์ที่เรารู้มาจนถึงตอนนี้” Bisq กล่าวในแถลงการณ์ มูลค่าของสกุลเงินดิจิทัลที่ถูกขโมยมีก การอ้าง ประมาณ $ 22.000 ของ bitcoin (BTC) และ $ 230.000 ของ monero (XMR)

ในการดำเนินการโจรกรรมผู้โจมตีสามารถตั้งค่าที่อยู่ทางเลือกเริ่มต้นของผู้ใช้รายอื่นซึ่งเป็นปลายทางที่จะส่งเงินดิจิทัลไปในกรณีที่การแลกเปลี่ยนล้มเหลว

แฮ็กเกอร์เริ่มต้นธุรกิจกับผู้ซื้อและรอให้เวลาหมดลง จากนั้นทรัพย์สินดิจิทัลจะถูกโอนไปยังอาชญากรพร้อมกับการชำระเงินของผู้ซื้อและเงินประกัน

ข้อบกพร่องที่เป็นปัญหาเป็นส่วนหนึ่งของการอัปเดตล่าสุดสำหรับโปรโตคอลการซื้อขายซึ่งออกแบบมาเพื่อปรับปรุงการกระจายอำนาจและลบบุคคลที่สามที่เชื่อถือได้ออกจากแพลตฟอร์ม

Bisq แก้ปัญหาได้ในไม่กี่ชั่วโมง

Bisq สามารถแก้ไขข้อบกพร่องได้ภายในไม่กี่ชั่วโมงทำให้กิจกรรมการซื้อขายสามารถดำเนินต่อไปได้ Bisq ได้รับการเผยแพร่บน testnet เมื่อปลายปี 2018 โดยมีโครงสร้างการแลกเปลี่ยนเป็นองค์กรอิสระแบบกระจายอำนาจ (DAO)

ทำงานในลักษณะเดียวกับ DEX อื่น ๆ แต่ผู้ใช้สามารถดำเนินการโดยไม่ระบุตัวตนได้เนื่องจากไม่มีข้อกำหนดในการลงทะเบียนหรือการยืนยันตัวตน ด้วยแพลตฟอร์มที่ใช้เครือข่ายแบบกระจายผู้ใช้แต่ละคนจะทำหน้าที่เป็นโหนดได้อย่างมีประสิทธิภาพ

แม้ว่านักพัฒนาของ Bisq จะระงับการซื้อขายเป็นเวลาหลายชั่วโมง แต่ลักษณะการกระจายอำนาจของการแลกเปลี่ยนทำให้ผู้ใช้สามารถลบล้างการระงับได้หากต้องการ ในกรณีส่วนใหญ่ของการแฮ็กแลกเปลี่ยนแฮกเกอร์สามารถถูกไล่ออกจากแพลตฟอร์มการซื้อขายได้ตลอดไป

สิ่งนี้ใช้ไม่ได้กับ Bisq หนึ่งในนักพัฒนาที่เกี่ยวข้องกับ DEX อ้างว่าแม้ว่าข้อบกพร่องจะได้รับการแก้ไขแล้ว แต่ก็ไม่มีสิ่งใดที่สามารถป้องกันไม่ให้ผู้โจมตีซึ่งไม่สามารถทราบตัวตนไม่ให้เข้าถึงและดำเนินการบนแพลตฟอร์มได้อีก “ ใคร ๆ ก็ใช้ Bisq ได้ไม่มีการเซ็นเซอร์” นักพัฒนากล่าว "เช่นเดียวกับที่ใคร ๆ ก็สามารถใช้ bitcoin ได้ไม่มีทางยกเว้นใครได้"