С P2P-биржи Bisq украдено $250000 в BTC и XMR

Вчера децентрализованная криптовалютная биржа Bisq приостановила торги после обнаружения «критической уязвимости безопасности». При этом функционирование платформы не прекратилось, и получившиеся рекомендации не совершать никаких транзакций пользователи продолжали торговать.

В итоге уязвимость привела к потере BTC и XMR на сумму не менее $250 000.

Спустя 18 часов после заявления о проблемах администрация Bisq обнаружила, что платформа была взломана хакером, которому удалось украсть «примерно 3 BTC и 4000 XMR» у семи разных пользователей. По данным Bisq, действия хакера затронули пару XMR/BTC, а хищение средств проходило на протяжении последних 12 дней.

Уязвимость появилась после обновления, предназначенного для дальнейшей децентрализации платформы путём удаления арбитров с третьим ключом в многозадачном депонировании, используемом при торговле. Арбитры были заменены посредниками и арбитрами без ключей в условном депонировании, и, чтобы восполнить удаление доверенной третьей стороны, Bisq переместил торговые средства BTC на так называемый «адрес пожертвования».

По данным платформы, активность трейдеров позволила хакеру сменить адрес получения средств на свой собственный, что позволило украсть около $ 250 000 в криптовалютах.

Адрес для пожертвований устанавливается Bisq DAO и утверждается заинтересованными сторонами DAO. Программное обеспечение Bisq не проверило соответствие адреса изначально установленному DAO.

Через кошелёк злоумышленников прошло в общей сложности 19,6 BTC ($ 143 000). Данные блокчейна показывают, что с тех пор монеты были разбросаны по разным адресам, что позволит скрыть их происхождение.

Сообщается, что DAO Bisq планирует произвести выплаты семи пострадавшим от взлома из будущих доходов от торговли.