Der dezentrale Austausch (DEX) Bisq hat gestern Abend die Alarmsirene ausgelöst, nachdem ein Hacker einen Softwarefehler ausgenutzt hatte, um Benutzern Kryptowährung im Wert von über 250.000 US-Dollar zu stehlen.
Ein Fehler, der in das neue Update integriert ist
Bisq, mit dem Benutzer Kryptowährungen anonym handeln können, hat die Handelsplattform am Dienstag abrupt deaktiviert, nachdem "eine kritische Sicherheitslücke" entdeckt wurde.
Derzeit hat die Börse keine Informationen über die Art des Mangels oder die Sicherheit der Gelder der Nutzer veröffentlicht. Aber 18 Stunden nach Beendigung des Handels gab Bisq an, eine "beispiellose" Maßnahme ergriffen zu haben, nachdem er festgestellt hatte, dass ein Angreifer einen Fehler in der Software ausnutzte, um anderen Benutzern Kryptowährungsgeld zu stehlen.
„Vor ungefähr 24 Stunden haben wir festgestellt, dass ein Angreifer einen Fehler im kommerziellen Bisq-Protokoll ausnutzen konnte, indem er auf einzelne Operationen abzielte, um kommerzielles Kapital zu stehlen.
Uns sind ungefähr 3 BTC und 4.000 XMR bekannt, die von 7 verschiedenen Opfern gestohlen wurden. Dies ist die Situation, wie wir sie bisher kennen ", sagte Bisq in einer Erklärung. Der gestohlene Kryptowährungswert hat einen Preis etwa 22.000 USD in Bitcoin (BTC) und 230.000 USD in Monero (XMR).
Um die Diebstähle durchzuführen, konnte der Angreifer die Standard-Fallback-Adresse anderer Benutzer festlegen - das Ziel, an das Kryptowährungen im Falle eines Austauschfehlers gesendet werden.
Indem der Hacker vorgab, der Verkäufer zu sein, eröffnete er ein Geschäft mit einem Käufer und wartete einfach darauf, dass die Zeit ablief. Die digitalen Vermögenswerte wurden dann zusammen mit der Zahlung des Käufers und der Kaution dem Kriminellen gutgeschrieben.
Der fragliche Fehler ist Teil einer kürzlich durchgeführten Aktualisierung des Handelsprotokolls, mit dem die Dezentralisierung verbessert und zuverlässige Dritte von der Plattform entfernt werden sollen.
Bisq löste das Problem in wenigen Stunden
Bisq konnte den Fehler in wenigen Stunden beheben und den Handel wieder aufnehmen. Bisq wurde Ende 2018 auf testnet als eine als dezentrale autonome Organisation (DAO) strukturierte Börse veröffentlicht.
Es funktioniert ähnlich wie andere DEXs, aber Benutzer können anonym arbeiten, da keine Registrierungs- oder Identitätsprüfungsanforderungen bestehen. Mit der Plattform, die auf einem verteilten Netzwerk basiert, fungiert jeder Benutzer effektiv als Knoten.
Obwohl Bisq-Entwickler den Handel für mehrere Stunden ausgesetzt haben, können Benutzer die Aussetzung aufgrund der Dezentralisierung der Börse ignorieren, wenn sie dies wünschen. In den meisten Fällen eines Exchange-Hacks kann der Hacker für immer von der Handelsplattform ausgeschlossen werden.
Dies gilt nicht für Bisq. Einer der DEX-assoziierten Entwickler sagte, dass der Angreifer - dessen Identität nicht bekannt sein kann - sich nicht anmelden und erneut auf der Plattform arbeiten könne, obwohl der Fehler behoben worden sei. "Jeder kann Bisq verwenden, es gibt keine Zensur", sagte der Entwickler. "So wie jeder Bitcoin verwenden kann, gibt es keine Möglichkeit, jemanden auszuschließen."
