Ang desentralisadong palitan (DEX) Bisq ay tumunog ang sirena ng alarm kagabi matapos na sinamantala ng isang hacker ang isang kakulangan ng software upang magnakaw ng mga gumagamit ng higit sa $ 250.000 sa cryptocurrency.
Isang kamalian na isinama sa bagong pag-update
Ang Bisq, na nagpapahintulot sa mga gumagamit na makipagpalitan ng mga cryptocurrencies nang hindi nagpapakilala, biglang nag-deactivate ang platform ng kalakalan noong Martes matapos matuklasan ang "isang kritikal na kahinaan sa seguridad".
Sa ngayon, ang palitan ay hindi naglabas ng anumang impormasyon tungkol sa likas na katangian ng depekto o ang seguridad ng mga pondo ng mga gumagamit. Ngunit 18 na oras pagkatapos ng pagtigil sa trading, sinabi ni Bisq na gumawa siya ng "walang uliran" na pagkilos matapos na matuklasan na ang isang mang-atake ay sinasamantala ang isang kapintasan sa software upang magnakaw ng pera ng cryptocurrency mula sa iba pang mga gumagamit.
"Mga 24 na oras na ang nakalilipas, natuklasan namin na ang isang magsasalakay ay may kakayahang magsamantala sa isang depekto sa Bisq komersyal na protocol, na target ang mga indibidwal na operasyon upang magnakaw ng komersyal na kapital.
Alam namin ang humigit-kumulang na 3 BTC at 4.000 XMR na ninakaw mula sa 7 iba't ibang mga biktima. Ito ang sitwasyon tulad ng alam natin ngayon, "pahayag ni Bisq sa isang pahayag. Ang ninakaw na halaga ng cryptocurrency ay may isa sipi mga $ 22.000 sa bitcoin (BTC) at $ 230.000 sa monero (XMR).
Upang maisagawa ang mga pagnanakaw, ang nag-atake ay nagawang itakda ang default na address ng fallback ng iba pang mga gumagamit - ang patutunguhan kung saan ipinadala ang mga cryptocurrencies kung sakaling ang isang pagkabigo sa palitan.
Nagpapanggap na nagbebenta, sinimulan ng hacker ang isang negosyo sa isang mamimili at hinintay lamang ang oras na maubusan. Ang digital assets ay na-kredito sa kriminal, kasama ang pagbabayad ng bumibili at pati na rin ang security deposit.
Ang kamalian sa tanong ay bahagi ng isang kamakailang pag-update ng protocol ng kalakalan, na idinisenyo upang mapabuti ang desentralisasyon at alisin ang maaasahang ikatlong partido mula sa platform.
Nalutas ni Bisq ang problema sa loob ng ilang oras
Nagawang itama ni Bisq ang depekto sa loob ng ilang oras, na pinapayagan na muling ipagpatuloy ang pakikipagkalakalan. Ang Bisq ay pinakawalan sa testnet noong huling bahagi ng 2018 bilang isang exchange na nakabalangkas bilang isang desentralisadong autonomous na samahan (DAO).
Gumagana ito nang labis sa parehong paraan tulad ng iba pang mga DEX, ngunit ang mga gumagamit ay maaaring tumakbo nang hindi nagpapakilala dahil walang mga pagpaparehistro o mga kinakailangan sa pagpapatunay ng pagkakakilanlan. Gamit ang platform batay sa isang ipinamamahagi na network, ang bawat gumagamit ay epektibong kumikilos bilang isang node.
Bagaman nasuspinde ng mga developer ng Bisq ang trading nang maraming oras, ang desentralisado na katangian ng palitan ay posible para sa mga gumagamit na huwag pansinin ang suspensyon kung nais nila. Sa karamihan ng mga kaso ng isang exchange hack, ang hacker ay maaaring mapalayas mula sa platform ng trading magpakailanman.
Hindi ito nalalapat sa Bisq. Ang isa sa mga developer na nauugnay sa DEX ay nagsabi na kahit na naayos na ang kapintasan, walang maiiwasan ang mang-aatake - na ang pagkakakilanlan ay hindi malalaman - mula sa pag-log in at pagpapatakbo muli sa platform. "Kahit sino ay maaaring gumamit ng Bisq, walang censorship," sabi ng nag-develop. "Tulad ng kahit sino na maaaring gumamit ng bitcoin, walang paraan upang mamuno ang sinuman."
