自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

黑客窃取加密交易所Bisq 25万美元

2020-04-08 17:37:32
收藏

去中心化交易所Bisq遭遇黑客攻击,损失约25万美元

去中心化加密货币交易所Bisq于本周二宣布遭遇黑客攻击。由于其代码存在漏洞,导致价值约25万美元的比特币(BTC)和门罗币(XMR)被盗。交易所随后发布了修复程序,并承诺全额赔偿受害者。

漏洞详情与攻击过程

Bisq昨日通过推特首次向用户发出警报,并立即暂停了平台上的所有交易。周三,开源项目贡献者在交易所官网上发布声明,解释称黑客利用了Bisq交易协议中的一个关键漏洞,该漏洞允许黑客针对个人交易进行资金窃取。

"我们了解到大约有3个BTC和4000个XMR从7位不同的受害者处被盗,"声明中表示。"唯一受影响的市场是XMR/BTC市场,所有受影响的交易都发生在过去12天内。"

Bisq成立于四年前,是一个点对点应用程序,允许用户通过桌面客户端直接相互买卖加密货币以换取法币。该平台不进行KYC检查,因此用户可以保持匿名。

与中心化交易所不同,Bisq是去中心化的,这意味着黑客无法通过攻击中心化服务器来窃取大量资金。"受影响的用户仅涉及活跃交易,"Bisq在解释黑客攻击的推特线程中表示。

攻击手法分析

显然,攻击者伪装成在平台上出售BTC的用户,以利用系统中的漏洞。交易所要求卖家将出售的BTC与保证金一起锁定在多签名托管中。如果出现争议且调解人无法提出解决方案,资金将被发送到一个称为"捐赠地址"的回退地址。

"这种情况本应在极端情况下罕见发生,"交易所在一条推文中表示。但在本次事件中,黑客能够将捐赠地址设置为自己控制的地址,这使得黑客能够将资金据为己有。

"数字资产没有到达合法所有者手中,而是与买家的付款和保证金一起落入了攻击者手中,"交易所解释道。

漏洞根源与应对措施

允许这种情况发生的软件漏洞存在于10月底发布的更新中。新版本旨在通过移除比特币交易资金多签名托管中的受信任第三方来提高去中心化程度。但这次更新适得其反,为黑客打开了大门。

Bisq表示计划弥补损失。"很快将在Bisq DAO(Bisq的资金机制)中提出一个提案,旨在从未来的交易收入中偿还7位受害者,"声明中解释道。

"安全一直是Bisq的首要任务,但这一事件表明它并不完美。该项目正在评估多种方法来进一步加强安全审查和实践,并将很快详细介绍,"声明补充道。

幸运的是,交易所并非完全去中心化。(4月11日更新:本文先前版本将Bisq称为公司。更准确地说,它是一个开源项目。在一封电子邮件中,Bisq告诉Decrypt,该平台不使用智能合约,"至少不是以太坊智能合约的常见理解"。因此,尽管DAO通常与智能合约相关联,我们删除了这一引用。)

展开阅读全文
更多新闻