Sàn giao dịch phi tập trung (DEX) Bisq đã gióng lên hồi chuông cảnh báo vào đêm qua sau khi một hacker khai thác một lỗ hổng phần mềm để đánh cắp hơn 250.000 đô la tiền điện tử từ người dùng.
Một lỗ hổng được tích hợp trong bản cập nhật mới
Bisq, cho phép người dùng giao dịch tiền điện tử ẩn danh, đã đột ngột đóng cửa nền tảng giao dịch vào thứ Ba sau khi phát hiện ra "một lỗ hổng bảo mật quan trọng".
Hiện tại, sàn giao dịch chưa công bố bất kỳ thông tin nào về bản chất của lỗi hoặc sự an toàn của tiền của người dùng. Nhưng 18 giờ sau khi ngừng giao dịch, Bisq tuyên bố đã thực hiện một hành động "chưa từng có" sau khi phát hiện ra rằng kẻ tấn công đang khai thác một lỗ hổng trong phần mềm để đánh cắp tiền mã hóa từ những người dùng khác.
“Khoảng 24 giờ trước, chúng tôi đã phát hiện ra rằng kẻ tấn công có thể khai thác một lỗ hổng trong giao thức thương mại Bisq bằng cách nhắm mục tiêu vào các giao dịch riêng lẻ để đánh cắp vốn giao dịch.
Chúng tôi biết có khoảng 3 BTC và 4.000 XMR bị đánh cắp bởi 7 nạn nhân khác nhau. Đây là tình hình mà chúng tôi biết cho đến nay, ”Bisq nói trong một tuyên bố. Giá trị của tiền điện tử bị đánh cắp có báo giá khoảng 22.000 đô la bitcoin (BTC) và 230.000 đô la monero (XMR).
Để thực hiện các vụ trộm, kẻ tấn công đã có thể đặt địa chỉ dự phòng mặc định của những người dùng khác - đích đến mà tiền điện tử được gửi trong trường hợp xảy ra sự cố trao đổi.
Đóng giả một phần của người bán, hacker bắt đầu giao dịch với người mua và chỉ đơn giản là đợi cho hết thời gian. Các tài sản kỹ thuật số sau đó đã được ghi có cho tội phạm, cùng với khoản thanh toán của người mua và cả tiền đặt cọc.
Lỗ hổng được đề cập là một phần của bản cập nhật giao thức giao dịch gần đây, được thiết kế để cải thiện sự phân quyền và xóa các bên thứ ba đáng tin cậy khỏi nền tảng.
Bisq đã giải quyết vấn đề trong vài giờ
Bisq đã cố gắng sửa chữa lỗi trong vài giờ, cho phép giao dịch tiếp tục. Bisq đã được phát hành trên testnet vào cuối năm 2018 dưới dạng một sàn giao dịch có cấu trúc như một tổ chức tự trị phi tập trung (DAO).
Nó hoạt động giống như các DEX khác, nhưng người dùng có thể hoạt động ẩn danh vì không có yêu cầu đăng ký hoặc xác minh danh tính. Với nền tảng dựa trên mạng phân tán, mỗi người dùng hoạt động hiệu quả như một nút.
Mặc dù các nhà phát triển của Bisq đã tạm ngừng giao dịch trong vài giờ, nhưng bản chất phi tập trung của sàn giao dịch khiến người dùng có thể ghi đè việc tạm ngưng nếu họ muốn. Trong hầu hết các trường hợp hack sàn giao dịch, hacker có thể bị đuổi khỏi nền tảng giao dịch vĩnh viễn.
Điều này không áp dụng cho Bisq. Một trong những nhà phát triển liên kết với DEX tuyên bố rằng mặc dù lỗ hổng đã được sửa nhưng không có gì có thể ngăn kẻ tấn công - người không thể biết danh tính - đăng nhập và hoạt động lại trên nền tảng. “Bất kỳ ai cũng có thể sử dụng Bisq, không có sự kiểm duyệt nào,” nhà phát triển cho biết. "Giống như bất kỳ ai cũng có thể sử dụng bitcoin, không có cách nào để loại trừ bất kỳ ai."
