Giełda Bisq która zablokował handel późnym wieczorem we wtorek po wykryciu „krytycznej luki w zabezpieczeniach” padła ofiarą kradzieży.
W czasie naprawy błędu i wypuszczenia nowej wersji oprogramowania giełda nie ujawniła żadnych informacji dotyczących charakteru usterki ani tego, czy środki użytkowników były bezpieczne. Ale 18 godzin po zablokowaniu handlu, Bisq potwierdził, że nastąpił atak. Atakujący wykorzystał wadę oprogramowania, aby ukraść kryptowaluty innych użytkowników.
„Około 24 godzin temu odkryliśmy, że osoba atakująca była w stanie wykorzystać lukę w protokole handlowym Bisq, atakując pojedyncze transakcje w celu kradzieży kapitału handlowego. Wiemy o około 3 BTC i 4000 XMR skradzionych 7 różnym ofiarom. Taka jest sytuacja, jaką znamy do tej pory – powiedział Bisq w swoim oświadczeniu.
Wartość skradzionych kryptowalut wynosiła około 22 000 $ (BTC) i 230 000 $ (XMR). W sumie daje to ponad 250 000 USD.
Aby przeprowadzić tą kradzież, osoba atakująca musiała ustawić domyślny adres rezerwowy innych użytkowników – miejsce docelowe, do którego wysyłane jest krypto w przypadku niepowodzenia transakcji – na własny. W ten sposób środki trafiały do oszusta zamiast do prawowitego odbiorcy.
Luka pojawiła się po aktualizacji mającej na celu dalszą decentralizację platformy poprzez usunięcie arbitrów z trzecim kluczem w wielozadaniowym depozycie stosowanym w handlu. Arbitrzy zostali zastąpieni przez bezkluczowych pośredników i arbitrów, a aby zrekompensować usunięcie zaufanej strony trzeciej, Bisq przeniósł fundusze handlowe BTC na tak zwany „adres darowizny”.
Według platformy aktywność traderów pozwoliła hakerowi zmienić adres do otrzymywania funduszy na własny, co pozwoliło mu ukraść około 250 000 $ w kryptowalutach.
Adres darowizny jest ustalany przez Bisq DAO i zatwierdzany przez interesariuszy DAO. Oprogramowanie Bisq nie sprawdziło, czy adres odpowiada oryginalnemu DAO.
Łącznie 19,6 BTC (143 000 $) przeszło przez portfel napastników. Dane Blockchain pokazują, że od tego czasu coiny zostały rozproszone na różne adresy, co ukryje ich pochodzenie.
Poinformowano, że DAO Bisq planuje dokonać zwrotu utraconych środków na rzecz siedmiu ofiar hakowania z przyszłych dochodów z handlu.
Bisq został wydany pod koniec 2018 roku jako giełda o strukturze zdecentralizowanej organizacji autonomicznej (DAO). Działa podobnie jak inne DEX-y, ale użytkownicy mogą handlować anonimowo, ponieważ nie ma żadnych wymagań dotyczących rejestracji ani weryfikacji tożsamości.
Dzięki platformie opartej na sieci rozproszonej każdy użytkownik skutecznie działa jako węzeł. Chociaż programiści Bisq zawiesili handel, zdecentralizowany charakter giełdy oznacza, że użytkownicy mogą zmienić stan zawieszenia, jeśli chcą.
W większości przypadków włamań giełdowych atakującego można na dobre wyrzucić z platformy transakcyjnej. Lecz nie z Bisq. Jeden z deweloperów powiązanych z DEX powiedział że chociaż usterka została naprawiona, to nic nie mogło powstrzymać atakującego (którego tożsamości nie można poznać) od ponownego dostępu i handlu na platformie.
zródło: coindesk
Comments (No)