去中心化交易所 Bisq 爆发窃盗事件,骇客利用软件漏洞窃取价值超过 25 万美元的加密货币。
据悉,为用户提供匿名加密货币交易服务的 Bisq 于 4 月 8 日晚间无预警中止交易,原因是发现“严重的安全漏洞”。当时,该交易所并未公布有关漏洞性质,亦未说明用户资金状况如何。
然而,就在交易暂停 18 小时后,Bisq 终于证实,发现骇客利用软件漏洞来窃取用户的加密货币,但该交易所已第一时间采取“前所未有的行动”。Bisq 透过声明表示,
大约 24 小时前,我们发现攻击者能利用 Bisq 交易协定中的一个漏洞,瞄准个人交易,以窃取交易资金。目前掌握到约 7 名不同的受害人被窃取约 3 枚的比特币和 4,000 枚的门罗币(XMR)。这是目前我们所知道的情况。
根据当前报价,这些遭窃取的比特币价值约 2.2 万美元,失窃门罗币的价值则相当 23 万美元。整体而言,总失窃价值超过 25 万美元。
根据官方硕大,上述骇客能够把其他用户预设的“退回位址”(fallback address)替换成自己的预设退回位址,这种退回位址是用来当发生交易失败的情况时,加密货币会被传送的位址。之后,骇客就会假扮为卖方,开始与一名买方(受害者)进行交易,接下来就设法拖长时间直到交易失效,如此一来,这些数位资产就会传到骇客的退回位址,连同买方的付款与保证金一起送达。
这个漏洞交易协议是近期更新内容的一部分,这项协议的用意是改善去中心化程度,并从平台中移除信任第三方。现阶段,Bisq 已设法在世界标准时间 4 月 8 日 12:00 点前修复这个漏洞,并且恢复交易。
Bisq 做为一家去中心化匿名交易所,一直到 2018 年底才在测试网中推出。它的作业方式与其他去中心化交易所大致相同,但用户可以进行匿名交易,无需经过注册或身份验证。
由于 Bisq 的平台是基于去中心化网络,每个使用者实际上都扮演一个节点的角色。尽管 Bisq 的开发人员已暂停交易,但该交易所的去中心化本质代表用户可以依照自身想法行事,不理会开发人员暂停交易的措施。
在多数交易所遭骇客攻击的案例中,攻击者可被从交易平台中剔除,但在 Bisq 的案例中并不能这样做。一名去中心化交易平台的相关开发人员表示,虽然 Bisq 已修复漏洞,但没有任何措施可以阻止这些无法得知身份的攻击者再次使用平台并进行交易。开发人员表示,
因为缺乏审查制度,任何人都可使用 Bisq,就像任何人都能使用比特币一样,没有办法可禁止某人使用比特币。
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
