去中心化交易所(DEX)Bisq昨晚敲响了警钟,此前黑客利用一个重要的软件漏洞从用户那里窃取了价值超过25万美元的加密货币。
Bisq允许用户匿名交换加密货币,在发现“严重的安全漏洞”后,它在星期二晚上突然禁用了交易。
当时,交易所没有发布有关漏洞性质或用户资金是否安全的任何信息。但是在暂停交易18小时后,Bisq表示,在发现攻击者利用该软件的漏洞来窃取其他用户的加密货币之后,迈出了“前所未有的一步”。
“大约24小时前,我们发现攻击者能够利用Bisq贸易协议中的漏洞,针对个人交易以窃取交易资金。我们知道,有7名不同的受害者盗窃了大约3个BTC和4,000 XMR。这是迄今为止我们所知道的情况。” Bisq在给CoinDesk的一份声明中说。
根据截至发稿时CoinDesk的数据,被盗的加密货币价值约为22,000美元的比特币(BTC)和230,000美元的monero(XMR)。总计超过25万美元。
为了进行盗窃,攻击者能够将其他用户的默认后备地址(如果交易失败,将加密发送到的目标地址)设置为自己的默认后备地址。作为卖方,他们将与买方进行交易,并只等待时间限制用完。数字资产不是去找合法所有者,而是随攻击者一起到达,买家的付款和保证金也一起到达了。
该缺陷是交易协议最近更新的一部分,该协议旨在改善去中心化并从平台中删除受信任的第三方。
Bisq设法在世界标准时间周三12:00之前修复了该漏洞,并在发布之前告诉CoinDesk,交易又恢复了。
BISQ 释放到testnet 2018年很晚才回来结构化的分散自律组织(DAO)的交换。它的工作方式与其他DEX大致相同,但是由于没有注册或身份验证的要求,用户可以进行匿名交易。
使用基于分布式网络的平台,每个用户都可以有效地充当节点。尽管Bisq的开发人员已暂停交易,但该交易所的分散性质意味着用户可以根据需要撤消暂停交易。
在大多数情况下,如果是黑客攻击,则攻击者可以永久退出交易平台。Bisq并非如此。DEX的一名相关开发人员告诉CoinDesk,尽管该漏洞已修复,但没有任何措施可以阻止攻击者(其身份无法得知)再次访问平台并在平台上进行交易。
开发人员说:“任何人都可以使用Bisq,没有审查制度。” “就像任何人都可以使用比特币一样,没有办法禁止某人使用比特币。”