Хакер обокрал пользователей Bisq на $250 000, воспользовавшись уязвимостью протокола

Поздно вечером 7 апреля DEX Bisq внезапно отключила торговлю после того, как обнаружила «критическую уязвимость в системе безопасности».

Bisq забила тревогу, определив, что хакер воспользовался уязвимостью ПО биржи и украл у пользователей криптовалют на сумму более $250 000.

Однако лишь через 18 часов после отключения биржа сообщила, что предприняты «беспрецедентные шаги» из-за того, что некий злоумышленник использует уязвимость ПО биржи и крадёт средства пользователей.

«24 часа назад мы обнаружили, что злоумышленнику удалось воспользоваться уязвимостью торгового протокола Bisq. Нам известно о краже примерно 3 биткоинов и 4000 XMR, которые украдены у 7 пользователей. Пока это то, что мы можем сказать определённо», - заявила компания сайту CoinDesk.

Украденные суммы составляют примерно $22 000 в биткоинах (BTC) и $230 000 в Monero (XMR). В общей сложности – на сумму более $250 000.

Злоумышленник подменял резервные адреса других пользователей, которые должны использоваться в случае незавершившихся сделок. Эта уязвимость возникла после недавнего обновления торгового протокола биржи, когда предпринималась попытка усилить децентрализацию и удалить доверенных третьих сторон из платформы.

К 15:00 мск 8 апреля Bisq удалось исправить ошибку и возобновить торговлю.

На Bisq пользователи могут торговать анонимно, так как нет требований по KYC / AML. В DLT-платформе каждого пользователя можно рассматривать как ноду. Хотя разработчики Bisq в данном случае приостановили торговлю, децентрализованный характер биржи также означает, что пользователи могут отменить такое действие, если захотят.

В большинстве случаев злоумышленника также можно «вывести» из платформы навсегда. Однако, как заявил один из разработчиков, ничто не мешает злоумышленнику повторно получить доступ к Bisq, так как пользователи здесь не проходят проверку личности.