Zdecentralizowana giełda Bisq padła ofiarą ataku hakerskiego. Napastnik zdołał ukraść użytkownikom kryptowaluty o wartości ponad 250 000 $.
Bisq zablokowała możliwość handlu we wtorek późnym wieczorem. Poinformowano o „krytycznej luce w zabezpieczeniach”. W tym czasie giełda nie ujawniła żadnych informacji dotyczących charakteru usterki ani tego, czy środki użytkowników są bezpieczne.
18 godzin po tym, jak giełda wstrzymała możliwość handlu poinformowała, że zrobiła „bezprecedensowy” krok po odkryciu, że atakujący wykorzystuje wadę oprogramowania, aby ukraść kryptowaluty innym użytkownikom.
„Około 24 godzin temu odkryliśmy, że napastnik był w stanie wykorzystać lukę w protokole tradingowym Bisq, atakując pojedyncze transakcje w celu kradzieży kapitału. Wiemy o około 3 BTC i 4000 XMR skradzionych 7 różnym ofiarom. To jest sytuacja, jaką znamy do tej pory” – stwierdziła Bisq w oświadczeniu dla CoinDesk.
Wartość skradzionych kryptowalut wynosiła na dzień wczorajszy około 22 000 $ bitcoinów (BTC) i 230 000 $ monero (XMR). W sumie daje to wartość ponad 250 000 $.
Jak mogło dojść do ataku?
Aby przeprowadzić kradzież, haker mógł ustawić domyślny adres rezerwowy innych użytkowników – miejsce docelowe, do którego kryptowaluty są wysyłane w przypadku niepowodzenia transakcji. W tym miejsce mógł podłożyć własny adres. Podając się za sprzedającego, rozpoczynał handel z kupującym i po prostu czekał na termin wygaśnięcia pozycji. Zamiast trafić się do prawowitego właściciela, kryptowaluty mogły wylądować na koncie napastnika i to wraz z opłatami i depozytem zabezpieczającym ofiary.
Co ciekawe, wykryta luka w zabezpieczeniach znajdowała się w orbicie zainteresowania giełdy w nadchodzącej aktualizacji. Poprawka została ona zaprojektowana w celu poprawy decentralizacji i usunięcia zaufanych stron trzecich z platformy.
Bisq udało się naprawić usterkę we środę do godziny 12:00 UTC.
Giełda Bisq została uruchomiona w 2018 roku jako giełda o strukturze zdecentralizowanej organizacji autonomicznej (DAO). Działa podobnie jak inne DEX-y, ale użytkownicy mogą handlować anonimowo, ponieważ nie ma żadnych wymagań dotyczących rejestracji ani weryfikacji tożsamości.
Dzięki platformie opartej na sieci rozproszonej każdy użytkownik skutecznie działa jako węzeł. Chociaż deweloperzy Bisq zawiesili wczoraj handel, zdecentralizowany charakter giełdy dawał użytkownikom możliwość ominięcia tych restrykcji. Giełda apelowała, by do czasu wyjaśnienia sprawy nie wpłacać żadnych środków.
W większości przypadków włamania na giełdy atakującego można na dobre wyrzucić z platformy transakcyjnej. Nie z Bisq. Jeden z deweloperów powiązanych z DEX powiedział CoinDesk’owi, że chociaż usterka została naprawiona, nic nie mogło powstrzymać atakującego – którego tożsamości nie można poznać – od ponownego dostępu i handlu na platformie.
„Każdy może korzystać z Bisq, nie ma cenzury”, powiedział deweloper. „Tak jak każdy może korzystać z bitcoinów, nie ma sposobu, aby zablokować komuś bitcoiny”.