P2P-платформа Bisq была запущена четыре года назад. Она даёт пользователям возможность покупать и продавать криптовалюты напрямую друг у друга с помощью десктопного клиента. У Bisq нет процедуры подтверждения личности, поэтому все трейдеры сохраняют анонимность.
Биржа децентрализованная, то есть она серьёзно отличается от обычных централизованных криптобирж по типу Binance, Coinbase и BitMEX. Напомним, у последних есть владельцы, сотрудники занимаются безопасностью платформы и проводят регулярные обновления, а нормы и требования властей — соблюдаются. В связи с этим больше всего удивляет именно факт взлома децентрализованной биржи.
Взломы криптовалютных бирж — новый случай
Изначально платформа уведомила своих пользователей о проблеме в Твиттере. Затем было принято решение полностью остановить все торги. Как выяснилось, злоумышленники нашли уязвимость в торговом протоколе Bisq, с помощью которой хакеры смогли украсть деньги. Вот цитата представителей платформы, в котором они отчитались об убытках.
Нам стало известно, что по меньшей мере 3 BTC и 4000 XMR было украдено у семи разных жертв. Под ударом оказались те, кто торговал пару XMR/BTC за последние 12 дней.
Так как Bisq является децентрализованной биржей, у неё нет единственного сервера или горячего кошелька, где хранились бы средства клиентов. Именно поэтому компании удалось отделаться сравнительно небольшим финансовым ущербом. Подробнее об отличиях между централизованными и децентрализованными биржами читайте в нашем отдельном материале.
Как взломали биржу Bisq?
Обычно монеты продавца должны блокироваться на время сделки вместе с гарантийным депозитом и средствами покупателя. Если сторонам так и не удаётся достигнуть соглашения по торгам за определенное время, монеты отправляются на временный адрес, а затем возвращаются к своим первоначальным владельцам. Так обеспечивается безопасность и создаётся доверие между участниками сделки.
Используя дыру в системе безопасности Bisq, хакеры смогли заменить временный адрес на свой собственный. То есть сначала злоумышленник выдавал себя за продавца, инициировал сделку, подменял адрес возврата криптовалюты, дожидался истечения времени торгов и забирал свои деньги назад вместе со средствами покупателя и его гарантийным депозитом. В этом и заключался "заработок" мошенников.
Уязвимость программного обеспечения, которая позволила случиться подобному, была внедрена в обновление от конца октября прошлого года. Новая версия протокола биржи была нацелена на улучшение децентрализации, однако апдейт, как видим, привёл к очень печальным последствиям. Разработчики Bisq уже устранили дыру в протоколе в новом обновлении v1.3.0, то есть в данный момент пока бояться нечего.
Вот ещё одна цитата представителей компании.
Безопасность всегда была главным приоритетом для Bisq, но этот инцидент показывает, что она не идеальна. Проект оценивает несколько подходов к усилению уровня безопасности.
Пострадавшие от хакерской атаки трейдеры не останутся без внимания: команда Bisq создаст специальный смарт-контракт, который будет возмещать потери пользователей из доходов торговой платформы. То есть если ситуация повторится, клиенты платформы получат утраченные деньги. Скорее всего, это случится достаточно быстро.
Наш вывод из ситуации грустный: хакерам удаётся добраться до монет пользователей даже там, где их никто не ждёт. Поэтому в повседневной жизни хранить монеты стоит исключительно на аппаратном кошельке, а при проведении операции остаётся надеяться на лучшее. Безусловно, в большинстве случае крупные платформы возмещают ущерб пользователей, однако негатив всё равно остаётся.
Кстати, если вы хотите подобрать оптимальную криптовалютную биржу, рекомендуем ознакомиться с нашим подробным руководством. Внутри личный опыт и рекомендации.
Ещё больше интересных новостей ищите в нашем крипточате. И заглядывайте в Яндекс Дзен.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. БИТКОИН – ВСЕМУ ГОЛОВА!