Krytyczna luka w zabezpieczeniach
Zdecentralizowana giełda P2P poinformowała wczoraj o dziurze w zabezpieczeniach.Giełda po chwili potwierdziła to na oficjalnym Twitterze i dodała, że apeluje do wstrzymania handlu. Dodano jednak, że można obejść tę awarię i tradować dalej, ale ze względu bezpieczeństwa nie jest to zalecane.Bisq developers are investigating a critical security vulnerability, and the alert key has been used to temporarily disable trading. The hotfix release will be published within a few hours.
— wiz (@wiz) April 7, 2020
Cały problem wyjaśniono we wpisie na blogu i obiecano, że usterka zostanie usunięta w ciągu kilku godzin. Po dłuższej chwili dodano, że nawet już istniejące wymiany zostały zatrzymane i zostaną skompletowane dopiero po dodaniu łatki. Poprawka ma nosić tytuł v1.3.0.To clear confusion: yes, Bisq is a proper distributed peer-to-peer network. So you *can* override the latest alert key functionality that blocks trading.
— Bisq (@bisq_network) April 7, 2020
But we highly discourage you from doing this for your own security.
We'll release more details when we can.
Złośliwy atak hakera
Choć obiecywano rozwiązanie problemu w ciągu kilku godzin, dopiero po ponad 24 godzinach giełda opublikowała oświadczenie, w którym wyjaśniła całą sprawę.Jak się okazało, cała akcja to efekt ataku hakera próbującego skraść kryptowaluty od użytkowników zdecentralizowanej platformy. W oświadczeniu napisano:Statement on the critical vulnerability discovered yesterday:https://t.co/xbRstVXyfn
— Bisq (@bisq_network) April 8, 2020
“Wiemy o skradzionych 3 bitcoinach (BTC) i 4000 monero (XMR) od 7 różnych ofiar. To udało nam się dotychczas ustalić. Jedynym rynkiem, który ucierpiał był XMR/BTC. Wszystkie kradzieże nastąpiły w ciągu ostatnich 12 dni”.Wszystko przez zmieniony protokół wymiany wprowadzony pod koniec października 2019 roku. Wtedy poprawiono decentralizację giełdy poprzez usunięcie arbitrów transakcji. Oszustwo z ostatnich dni wynika więc ze sposobu przeprowadzania transakcji, a nie sposobu przechowywania środków przez giełdę (jest to zupełnie normalne, bo Bisq jest giełdą P2P i nie ma takowego wabika na złodziejów). Władze giełdy potwierdziły, że usterka została już naprawiona poprzez wypuszczenie łatki Bisq v1.3.0. Jak podkreślono w oświadczeniu, jest to bezprecedensowa sytuacja, bo Bisq w ciągu 4 lat ani razu nie musiał zaciągać wajchy “safe mode”.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
