去中心化交易所Bisq 爆发窃盗事件,黑客利用软体漏洞窃取价值超过25 万美元的加密货币。
据悉,为用户提供匿名加密货币交易服务的Bisq 于4 月8 日晚间无预警中止交易,原因是发现「严重的安全漏洞」。当时,该交易所并未公布有关漏洞性质,亦未说明用户资金状况如何。
然而,就在交易暂停18 小时后,Bisq 终于证实,发现黑客利用软体漏洞来窃取用户的加密货币,但该交易所已第一时间采取「前所未有的行动」。Bisq 透过声明表示,
大约24 小时前,我们发现攻击者能利用Bisq 交易协定中的一个漏洞,瞄准个人交易,以窃取交易资金。目前掌握到约7 名不同的受害人被窃取约3 枚的比特币和4,000 枚的门罗币(XMR)。这是目前我们所知道的情况。
根据当前报价,这些遭窃取的比特币价值约2.2 万美元,失窃门罗币的价值则相当23 万美元。整体而言,总失窃价值超过25 万美元。
根据官方硕大,上述黑客能够把其他用户预设的「退回位址」(fallback address)替换成自己的预设退回位址,这种退回位址是用来当发生交易失败的情况时,加密货币会被传送的位址。之后,黑客就会假扮为卖方,开始与一名买方(受害者)进行交易,接下来就设法拖长时间直到交易失效,如此一来,这些数位资产就会传到黑客的退回位址,连同买方的付款与保证金一起送达。
这个漏洞交易协议是近期更新内容的一部分,这项协议的用意是改善去中心化程度,并从平台中移除信任第三方。现阶段,Bisq 已设法在世界标准时间4 月8 日12:00 点前修复这个漏洞,并且恢复交易。
Bisq 做为一家去中心化匿名交易所,一直到2018 年底才在测试网中推出。它的作业方式与其他去中心化交易所大致相同,但用户可以进行匿名交易,无需经过注册或身分验证。
由于Bisq 的平台是基于去中心化网络,每个使用者实际上都扮演一个节点的角色。尽管Bisq 的开发人员已暂停交易,但该交易所的去中心化本质代表用户可以依照自身想法行事,不理会开发人员暂停交易的措施。
在多数交易所遭黑客攻击的案例中,攻击者可被从交易平台中剔除,但在Bisq 的案例中并不能这样做。一名去中心化交易平台的相关开发人员表示,虽然Bisq 已修复漏洞,但没有任何措施可以阻止这些无法得知身分的攻击者再次使用平台并进行交易。开发人员表示,
因为缺乏审查制度,任何人都可使用Bisq,就像任何人都能使用比特币一样,没有办法可禁止某人使用比特币。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。