Merkezi olmayan borsa (DEX) Bisq, bir hacker'ın kullanıcılardan 250.000 $ değerinde kripto para birimini çalmak için bir yazılım kusurundan yararlanmasının ardından dün gece alarm verdi.
Yeni güncellemede yerleşik bir kusur
Kullanıcıların anonim olarak kripto para ticareti yapmalarına izin veren Bisq, "kritik bir güvenlik açığını" keşfettikten sonra Salı günü işlem platformunu aniden kapattı.
Şu anda, borsa, kusurun niteliği veya kullanıcıların fonlarının güvenliği hakkında herhangi bir bilgi yayınlamadı. Ancak ticareti durdurduktan 18 saat sonra Bisq, bir saldırganın yazılımdaki bir kusuru diğer kullanıcılardan kripto para birimi parasını çalmak için kullandığını keşfettikten sonra "benzeri görülmemiş" bir eylemde bulunduğunu söyledi.
“Yaklaşık 24 saat önce, bir saldırganın ticari sermayeyi çalmak için bireysel işlemleri hedefleyerek Bisq ticaret protokolündeki bir kusurdan yararlanabildiğini keşfettik.
3 farklı kurban tarafından yaklaşık 4.000 BTC ve 7 XMR çalındığının farkındayız. Şu ana kadar bildiğimiz haliyle durum bu, ”dedi Bisq. Çalınan kripto para birimlerinin değeri bir alıntı yaklaşık 22.000 $ bitcoin (BTC) ve 230.000 $ monero (XMR).
Hırsızlık olaylarını gerçekleştirmek için saldırgan, diğer kullanıcıların varsayılan geri dönüş adresini - değişimin başarısız olması durumunda kripto para birimlerinin gönderileceği hedefi - belirleyebildi.
Satıcının bir parçası gibi davranan bilgisayar korsanı, bir alıcıyla iş kurdu ve sadece zamanın bitmesini bekledi. Dijital varlıklar daha sonra alıcının ödemesi ve ayrıca güvenlik depozitosu ile birlikte suçluya yatırıldı.
Söz konusu kusur, ademi merkeziyetçiliği iyileştirmek ve güvenilir üçüncü tarafları platformdan kaldırmak için tasarlanmış yeni bir ticaret protokol güncellemesinin bir parçası.
Bisq sorunu birkaç saat içinde çözdü
Bisq, kusuru birkaç saat içinde düzeltmeyi başardı ve ticaretin yeniden başlamasına izin verdi. Bisq, merkezi olmayan bir özerk organizasyon (DAO) olarak yapılandırılmış bir değişim olarak 2018'in sonlarında testnet'te piyasaya sürüldü.
Diğer DEX'lerle aynı şekilde çalışır, ancak kayıt veya kimlik doğrulama gerekliliği olmadığından kullanıcılar anonim olarak çalışabilir. Dağıtılmış bir ağa dayalı platform ile, her kullanıcı etkin bir şekilde bir düğüm görevi görür.
Bisq'in geliştiricileri ticareti birkaç saat askıya almış olsalar da, borsanın merkezi olmayan yapısı, kullanıcıların isterlerse askıya almayı geçersiz kılmalarını mümkün kılıyor. Çoğu takas saldırısı durumunda, bilgisayar korsanı ticaret platformundan sonsuza kadar atılabilir.
Bu Bisq için geçerli değildir. DEX ile ilişkili geliştiricilerden biri, kusur düzeltilmiş olmasına rağmen, kimliği bilinmeyen saldırganın tekrar oturum açmasını ve platformu çalıştırmasını engelleyecek hiçbir şeyin olmadığını iddia etti. Geliştirici, "Herkes Bisq kullanabilir, sansür yoktur" dedi. "Herkesin bitcoin kullanabileceği gibi, kimseyi dışlamanın yolu yok."
