P2P-платформа Bisq была запущена четыре года назад. Она даёт пользователям возможность покупать и продавать криптовалюты напрямую друг у друга с помощью десктопного клиента. У Bisq нет процедуры подтверждения личности, поэтому все трейдеры сохраняют анонимность.

Биржа децентрализованная, то есть она серьёзно отличается от обычных централизованных криптобирж по типу Binance, Coinbase и BitMEX. Напомним, у последних есть владельцы, сотрудники занимаются безопасностью платформы и проводят регулярные обновления, а нормы и требования властей — соблюдаются. В связи с этим больше всего удивляет именно факт взлома децентрализованной биржи.

Взломы криптовалютных бирж — новый случай

Изначально платформа уведомила своих пользователей о проблеме в Твиттере. Затем было принято решение полностью остановить все торги. Как выяснилось, злоумышленники нашли уязвимость в торговом протоколе Bisq, с помощью которой хакеры смогли украсть деньги. Вот цитата представителей платформы, в котором они отчитались об убытках.

Нам стало известно, что по меньшей мере 3 BTC и 4000 XMR было украдено у семи разных жертв. Под ударом оказались те, кто торговал пару XMR/BTC за последние 12 дней.

хакер постер мем

Интересно, найдут ли хакеров Bisq?

Так как Bisq является децентрализованной биржей, у неё нет единственного сервера или горячего кошелька, где хранились бы средства клиентов. Именно поэтому компании удалось отделаться сравнительно небольшим финансовым ущербом. Подробнее об отличиях между централизованными и децентрализованными биржами читайте в нашем отдельном материале.

Как взломали биржу Bisq?

Обычно монеты продавца должны блокироваться на время сделки вместе с гарантийным депозитом и средствами покупателя. Если сторонам так и не удаётся достигнуть соглашения по торгам за определенное время, монеты отправляются на временный адрес, а затем возвращаются к своим первоначальным владельцам. Так обеспечивается безопасность и создаётся доверие между участниками сделки.

Используя дыру в системе безопасности Bisq, хакеры смогли заменить временный адрес на свой собственный. То есть сначала злоумышленник выдавал себя за продавца, инициировал сделку, подменял адрес возврата криптовалюты, дожидался истечения времени торгов и забирал свои деньги назад вместе со средствами покупателя и его гарантийным депозитом. В этом и заключался "заработок" мошенников.

Уязвимость программного обеспечения, которая позволила случиться подобному, была внедрена в обновление от конца октября прошлого года. Новая версия протокола биржи была нацелена на улучшение децентрализации, однако апдейт, как видим, привёл к очень печальным последствиям. Разработчики Bisq уже устранили дыру в протоколе в новом обновлении v1.3.0, то есть в данный момент пока бояться нечего.

протокол биржа bisq github

Обновление протокола биржи на Github

Вот ещё одна цитата представителей компании.

Безопасность всегда была главным приоритетом для Bisq, но этот инцидент показывает, что она не идеальна. Проект оценивает несколько подходов к усилению уровня безопасности.

Пострадавшие от хакерской атаки трейдеры не останутся без внимания: команда Bisq создаст специальный смарт-контракт, который будет возмещать потери пользователей из доходов торговой платформы. То есть если ситуация повторится, клиенты платформы получат утраченные деньги. Скорее всего, это случится достаточно быстро.


Наш вывод из ситуации грустный: хакерам удаётся добраться до монет пользователей даже там, где их никто не ждёт. Поэтому в повседневной жизни хранить монеты стоит исключительно на аппаратном кошельке, а при проведении операции остаётся надеяться на лучшее. Безусловно, в большинстве случае крупные платформы возмещают ущерб пользователей, однако негатив всё равно остаётся.

Кстати, если вы хотите подобрать оптимальную криптовалютную биржу, рекомендуем ознакомиться с нашим подробным руководством. Внутри личный опыт и рекомендации.

Ещё больше интересных новостей ищите в нашем крипточате. И заглядывайте в Яндекс Дзен.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. БИТКОИН – ВСЕМУ ГОЛОВА!