Hacker profite d'une faille dans l'échange décentralisé Bisq pour voler 250.000 XNUMX $ en crypto-monnaies

L'échange décentralisé (DEX) Bisq a déclenché la sirène d'alarme la nuit dernière après qu'un pirate informatique ait exploité une faille logicielle pour voler des utilisateurs de plus de 250.000 XNUMX $ en crypto-monnaie.

Une faille intégrée dans la nouvelle mise à jour

Bisq, qui permet aux utilisateurs d'échanger des crypto-monnaies de manière anonyme, a brutalement désactivé la plateforme de trading mardi après avoir découvert "une vulnérabilité de sécurité critique".

Pour le moment, la bourse n'a communiqué aucune information sur la nature du défaut ou la sécurité des fonds des utilisateurs. Mais 18 heures après l'arrêt du trading, Bisq a affirmé avoir pris une mesure "sans précédent" après avoir découvert qu'un attaquant exploitait une faille dans le logiciel pour voler de l'argent de crypto-monnaie à d'autres utilisateurs.

«Il y a environ 24 heures, nous avons découvert qu'un attaquant était capable d'exploiter un défaut du protocole commercial Bisq, ciblant des opérations individuelles afin de voler du capital commercial.

Nous connaissons environ 3 BTC et 4.000 7 XMR volés à XNUMX victimes différentes. Telle est la situation telle que nous la connaissons jusqu'à présent ", a déclaré Bisq dans un communiqué. La valeur de crypto-monnaie volée en a un citation environ 22.000 230.000 $ en bitcoin (BTC) et XNUMX XNUMX $ en monero (XMR).

Pour effectuer les vols, l'attaquant a pu définir l'adresse de secours par défaut des autres utilisateurs - la destination vers laquelle les crypto-monnaies sont envoyées en cas d'échec de l'échange.

En faisant semblant d'être le vendeur, le pirate a démarré une entreprise avec un acheteur et a simplement attendu que le temps s'épuise. Les actifs numériques ont ensuite été crédités au criminel, ainsi que le paiement de l'acheteur et également le dépôt de garantie.

La faille en question fait partie d'une récente mise à jour du protocole de trading, conçue pour améliorer la décentralisation et supprimer des tiers fiables de la plateforme.

Bisq a résolu le problème en quelques heures

Bisq a réussi à corriger le défaut en quelques heures, permettant à la négociation de reprendre. Bisq est sorti sur testnet fin 2018 en tant qu'échange structuré comme une organisation autonome décentralisée (DAO).

Il fonctionne de la même manière que les autres DEX, mais les utilisateurs peuvent fonctionner de manière anonyme car il n'y a aucune exigence d'enregistrement ou de vérification d'identité. Avec la plate-forme basée sur un réseau distribué, chaque utilisateur agit efficacement comme un nœud.

Bien que les développeurs Bisq aient suspendu le trading pendant plusieurs heures, la nature décentralisée de l'échange permet aux utilisateurs d'ignorer la suspension s'ils le souhaitent. Dans la plupart des cas de piratage d'échange, le pirate peut être expulsé de la plateforme de trading pour toujours.

Cela ne s'applique pas à Bisq. L'un des développeurs associés à DEX a déclaré que bien que la faille ait été corrigée, rien ne pouvait empêcher l'attaquant - dont l'identité est inconnue - de se connecter et de fonctionner à nouveau sur la plate-forme. "Tout le monde peut utiliser Bisq, il n'y a pas de censure", a expliqué le développeur. "Tout comme n'importe qui peut utiliser le bitcoin, il n'y a aucun moyen d'exclure quiconque."