去中心化交易所 Bisq 爆發竊盜事件,駭客利用軟體漏洞竊取價值超過 25 萬美元的加密貨幣。

據悉,為用戶提供匿名加密貨幣交易服務的 Bisq 於 4 月 8 日晚間無預警中止交易,原因是發現「嚴重的安全漏洞」。當時,該交易所並未公布有關漏洞性質,亦未說明用戶資金狀況如何。

然而,就在交易暫停 18 小時後,Bisq 終於證實,發現駭客利用軟體漏洞來竊取用戶的加密貨幣,但該交易所已第一時間採取「前所未有的行動」。Bisq 透過聲明表示,

大約 24 小時前,我們發現攻擊者能利用 Bisq 交易協定中的一個漏洞,瞄準個人交易,以竊取交易資金。目前掌握到約 7 名不同的受害人被竊取約 3 枚的比特幣和 4,000 枚的門羅幣(XMR)。這是目前我們所知道的情況。

根據當前報價,這些遭竊取的比特幣價值約 2.2 萬美元,失竊門羅幣的價值則相當 23 萬美元。整體而言,總失竊價值超過 25 萬美元。

根據官方碩大,上述駭客能夠把其他用戶預設的「退回位址」(fallback address)替換成自己的預設退回位址,這種退回位址是用來當發生交易失敗的情況時,加密貨幣會被傳送的位址。之後,駭客就會假扮為賣方,開始與一名買方(受害者)進行交易,接下來就設法拖長時間直到交易失效,如此一來,這些數位資產就會傳到駭客的退回位址,連同買方的付款與保證金一起送達。

這個漏洞交易協議是近期更新內容的一部分,這項協議的用意是改善去中心化程度,並從平台中移除信任第三方。現階段,Bisq 已設法在世界標準時間 4 月 8 日 12:00 點前修復這個漏洞,並且恢復交易。

Bisq 做為一家去中心化匿名交易所,一直到 2018 年底才在測試網中推出。它的作業方式與其他去中心化交易所大致相同,但用戶可以進行匿名交易,無需經過註冊或身分驗證。

由於 Bisq 的平台是基於去中心化網絡,每個使用者實際上都扮演一個節點的角色。儘管 Bisq 的開發人員已暫停交易,但該交易所的去中心化本質代表用戶可以依照自身想法行事,不理會開發人員暫停交易的措施。

在多數交易所遭駭客攻擊的案例中,攻擊者可被從交易平台中剔除,但在 Bisq 的案例中並不能這樣做。一名去中心化交易平台的相關開發人員表示,雖然 Bisq 已修復漏洞,但沒有任何措施可以阻止這些無法得知身分的攻擊者再次使用平台並進行交易。開發人員表示,

因為缺乏審查制度,任何人都可使用 Bisq,就像任何人都能使用比特幣一樣,沒有辦法可禁止某人使用比特幣。


熱門市場動態與新聞傳送門:

區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。