Spis treści
We wtorkowy wieczór giełda Bisq podjęła decyzję o blokadzie handlu ze względu na lukę w zabezpieczeniach. Giełda poinformowała o incydencie kradzieży 3 bitcoinów o wartości 22 tysięcy dolarów oraz 4000 monero o wartości 230 tysięcy dolarów. Sprawca wykorzystał wadę oprogramowania, dopuszczając się kradzieży na indywidualnych transakcjach. Do tej pory potwierdzono, że okradzionych zostało 7 osób.
Jak do tego doszło?
Aby taki incydent w ogóle mógł być możliwy, sprawca najprawdopodobniej ustawił adres rezerwowy użytkowników giełdy. Jest to miejsce, do którego docelowo wysyłane są kryptowaluty, gdy dana transakcja się nie powiedzie. Taki adres haker zastąpił swoim własnym. Podszywając się pod sprzedającego, zaczynał handlować, po czy zwyczajnie czekał na wygaśnięcie pozycji. W taki sposób, kryptowaluty trafiały na niewłaściwe konto w pakiecie z opłatami czy depozytami, mającymi zabezpieczyć ofiary ataku. Wada oprogramowania miała być przez giełdę wyeliminowana w przyszłej aktualizacji. Projekt stosownej poprawki zakłada decentralizację systemu oraz usunięcie z platformy stron trzecich.
Poznaj więcej informacji o przykładowych projektach:
Naprawa usterki przez giełdę
Giełdę Bisq po raz pierwszy uruchomiono w 2018 roku. Giełda miała zdecentralizowaną strukturę autonomicznej organizacji, czyli DAO. Jej działanie było analogiczne do tego, jakie jest charakterystyczne dla innych DEX-ów. Tak funkcjonująca giełda umożliwia swoim użytkownikom anonimowy handel. Aby rozpocząć inwestowanie na giełdzie, nie ma najmniejszych wymogów, jeśli chodzi o ewentualne obowiązki rejestracyjne czy dotyczące weryfikacji tożsamości użytkowników. Giełda działa w oparciu o specjalną platformę, której struktura jest rozproszona. Dzieki takiemu rozwiązaniu, każdy z użytkowników funkcjonuje jak węzeł.
Co prawda wczoraj, możliwość handlu na Giełdzie Bisq została zawieszona, jednakże jej zdecentralizowana struktura pozwala swoim użytkownikom na swobodne ominięcie tego zakazu i dalsze prowadzenie handlu. Przedstawiciele giełdy wystosowali stosowny apel, w którym proszą o tymczasowe niewpłacanie jakichkolwiek środków, dopóki sprawa nie zostanie całkowicie wyjaśniona.
Ciekawym jest również fakt, że przy podobnych incydentach kradzieży na innych giełdach, takiego sprawcy można po prostu pozbyć się bez możliwości odwołania z platformy transakcyjnej. niestety w przypadku Giełdy Bisq rzecz się ma nieco inaczej. Otóż CoinDesk uzyskał informację od jednego z deweloperów, powiązanego z DEX, iż usunięcie usterki z pewnością nie jest wystarczającym zabezpieczeniem przed tego typu atakami.
Sprawca działał anonimowo, nie ma możliwości zweryfikowania jego tożsamości. Nic nie stoi zatem na przeszkodzie, aby ponownie dostał się na platformę transakcyjną i powtórzył swój atak. Każdy użytkownik powinien bowiem pamiętać, że Giełda Bisq jest otwarta dla wszystkich, zresztą podobnie jak z bitcoinów. Nie ma możliwości, aby komukolwiek dostęp ten został w jakikolwiek sposób zablokowany.
