Intercambio descentralizado (DEX) Bisq tocó las alarmas anoche después de que un pirata informático explotara una falla de software significativa para robar más de $ 250,000 en criptomonedas de los usuarios.
Bisq, que permite a los usuarios intercambiar cripto de forma anónima, deshabilitó abruptamente el comercio a última hora de la noche del martes después de descubrir "una vulnerabilidad crítica de seguridad".
En ese momento, el intercambio no divulgó ninguna información sobre la naturaleza de la falla o si los fondos de los usuarios estaban seguros. Pero 18 horas después de que detuviera el comercio, Bisq dijo que dio el paso "sin precedentes" después de encontrar que un atacante estaba explotando una falla en el software para robar criptomonedas de otros usuarios.
"Hace aproximadamente 24 horas, descubrimos que un atacante podía explotar una falla en el protocolo comercial Bisq, apuntando a intercambios individuales para robar capital comercial. Somos conscientes de aproximadamente 3 BTC y 4,000 XMR robados de 7 diferentes víctimas. Esta es la situación tal como la conocemos hasta ahora ", dijo Bisq en un comunicado a CoinDesk.
El valor del cripto robado era de aproximadamente $ 22,000 en bitcoin (BTC) y $ 230,000 en monero (XMR), según los datos de CoinDesk en el momento de la publicación. En total, eso llega a más de $ 250,000.
Para llevar a cabo los robos, el atacante pudo establecer la dirección de reserva predeterminada de otros usuarios, el destino al que se envía la criptografía si falla una operación, a la suya. Haciéndose pasar por un vendedor, comenzarían un intercambio con un comprador y simplemente esperarían a que se agotara el límite de tiempo. En lugar de ir al propietario legítimo, los activos digitales llegaron con el atacante, junto con el pago del comprador y el depósito de seguridad también.
La falla en cuestión surgió como parte de una actualización reciente del protocolo comercial, que fue diseñado para mejorar la descentralización y eliminar a terceros confiables de la plataforma.
Bisq logró arreglar la falla antes de las 12:00 UTC del miércoles y le dijo a CoinDesk justo antes de la publicación que el comercio acababa de reanudarse nuevamente.
Bisq lanzado en testnet a fines de 2018 como un intercambio estructurado como una organización autónoma descentralizada (DAO). Funciona de la misma manera que otros DEX, pero los usuarios pueden comerciar anónimamente ya que no hay requisitos de registro o verificación de identidad.
Con la plataforma basada en una red distribuida, cada usuario actúa efectivamente como un nodo. Aunque los desarrolladores de Bisq habían suspendido el comercio, la naturaleza descentralizada del intercambio significa que los usuarios podrían anular la suspensión si lo desean.
En la mayoría de los casos de un hack de intercambio, el atacante puede ser expulsado de la plataforma comercial para siempre. No es así con Bisq. Uno de los desarrolladores asociados de DEX le dijo a CoinDesk que, aunque se solucionó la falla, no había nada que impidiera que el atacante, cuya identidad no se puede conocer, vuelva a acceder y comerciar en la plataforma.
"Cualquiera puede usar Bisq, no hay censura", dijo el desarrollador. "Al igual que cualquiera puede usar bitcoin, no hay forma de prohibir a alguien el uso de bitcoin".
Divulgación Leer Más
El líder en noticias de blockchain, CoinDesk es un medio de comunicación que se esfuerza por obtener lo mejor normas periodísticas y se rige por un estricto conjunto de políticas editoriales . CoinDesk es una subsidiaria operativa independiente de Digital Currency Group, que invierte en criptomonedas y startups de blockchain.
.
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://www.coindesk.com/hacker-exploits-flaw-in-decentralized-exchange-bisq-to-steal-250k