Sinamantala ng Hacker ang Kapintasan sa Desentralisadong Bitcoin Exchange Bisq para Magnakaw ng $250K

Ang Decentralized exchange (DEX) Bisq ay nagpatunog ng alarm bells kagabi matapos ang isang hacker na pinagsamantalahan ang isang malaking depekto sa software upang magnakaw ng higit sa $250,000 na halaga ng Cryptocurrency mula sa mga user.

Bisq, na nagpapahintulot sa mga user na makipagpalitan ng Crypto nang hindi nagpapakilala, biglang na-disable kalakalan noong Martes ng gabi matapos nitong matuklasan ang "isang kritikal na kahinaan sa seguridad."

Noong panahong iyon, ang palitan ay hindi naglabas ng anumang impormasyon tungkol sa uri ng kapintasan o kung ang mga pondo ng gumagamit ay ligtas. Ngunit 18 oras pagkatapos nitong ihinto ang pangangalakal, sinabi ni Bisq na ginawa nito ang "walang uliran" na hakbang pagkatapos na makita ang isang umaatake ay nagsasamantala ng isang depekto sa software upang magnakaw ng Cryptocurrency mula sa ibang mga gumagamit.

"Mga 24 na oras ang nakalipas, natuklasan namin na ang isang attacker ay nagawang samantalahin ang isang depekto sa Bisq trade protocol, na nagta-target ng mga indibidwal na kalakalan upang magnakaw ng kapital sa pangangalakal. Alam namin ang humigit-kumulang 3 BTC at 4,000 XMR na ninakaw mula sa 7 iba't ibang biktima. Ito ang sitwasyon na alam namin sa ngayon, "sabi ni Bisq sa isang pahayag sa CoinDesk.

Ang halaga ng Crypto na ninakaw ay humigit-kumulang $22,000 na halaga ng Bitcoin (BTC) at $230,000 ang halaga ng Monero (XMR), ayon sa data ng CoinDesk sa oras ng pagpindot. Sa kabuuan, umabot iyon sa higit sa $250,000.

Upang maisagawa ang mga pagnanakaw, nagawang itakda ng attacker ang default na fallback address ng ibang mga user – ang patutunguhan kung saan ipinapadala ang Crypto kung nabigo ang isang trade – sa kanilang sarili. Sa pagpapanggap bilang isang nagbebenta, magsisimula silang makipagkalakalan sa isang mamimili at maghihintay lamang na maubos ang takdang oras. Sa halip na pumunta sa lehitimong may-ari, dumating ang mga digital na asset kasama ang umaatake, kasama ang pagbabayad at security deposit din ng mamimili.

Tingnan din ang: Sinusuportahan Ngayon ng DEX ng Binance ang Pagsunod sa AML sa pamamagitan ng CipherTrace

Ang pagkukulang na pinag-uusapan ay dumating bilang bahagi ng kamakailang pag-update sa protocol ng kalakalan, na idinisenyo upang mapabuti ang desentralisasyon at alisin ang mga pinagkakatiwalaang third party mula sa platform.

Nagawa ni Bisq na ayusin ang kapintasan noong 12:00 UTC Miyerkules at sinabi sa CoinDesk bago ang paglalathala na ang pangangalakal ay muling ipinagpatuloy.

Bisq inilabas sa testnet noong huling bahagi ng 2018 bilang isang exchange na nakabalangkas bilang isang decentralized autonomous organization (DAO). Gumagana ito sa halos parehong paraan tulad ng iba pang mga DEX, ngunit ang mga user ay maaaring makipagkalakalan nang hindi nagpapakilala dahil walang mga kinakailangan sa pagpaparehistro o pag-verify ng pagkakakilanlan.

Gamit ang platform na nakabatay sa isang distributed network, ang bawat user ay epektibong kumikilos bilang isang node. Bagama't sinuspinde ng mga developer ng Bisq ang pangangalakal, ang desentralisadong katangian ng palitan ay nangangahulugan na maaaring i-override ng mga user ang pagsususpinde kung gusto nila.

Tingnan din ang:Sinasabi ng Bagong Crypto Exchange na Altsbit na Magsasara Ito Kasunod ng Pag-hack

Sa karamihan ng mga kaso ng isang exchange hack, ang umaatake ay maaaring ma-boot mula sa trading platform para sa kabutihan. Hindi ganoon sa Bisq. Sinabi ng ONE sa mga nauugnay na developer ng DEX sa CoinDesk na bagama't naayos na ang kapintasan, walang makakapigil sa umaatake – na ang pagkakakilanlan ay hindi malaman – mula sa pag-access at pangangalakal muli sa platform.

"Kahit sino ay maaaring gumamit ng Bisq, walang censorship," sabi ng developer. "Tulad ng sinuman na maaaring gumamit ng Bitcoin, walang paraan upang ipagbawal ang isang tao mula sa Bitcoin."