Hacker steelt $250.000 aan Bitcoin en Monero door fout bij beurs Bisq
Door een fout in het protocol van de ‘decentrale’ beurs Bisq is er zo’n 3 bitcoin (BTC) en 4000 Monero (XMR) gestolen van zeven gebruikers. De beurs trok aan de noodrem en stopte tijdelijk alle handel op hun platform.
About 24 hours ago, Bisq dev team discovered that an attacker was able to exploit a flaw in the Bisq trade protocol, targeting individual trades in order to steal trading capital. Approximately 3 BTC and 4000 XMR were stolen from 7 different victims.https://t.co/ydvLcRmCxp
Foutje, bedankt
De beurs legt de situatie tegenover Coindesk uit: ”We ontdekte een aanvaller die een fout in de code van het Bisq trade protocol kon gebruiken om cryptocurrency te stelen.” Volgens de beurs gaat het om zo’n $250.000 in XMR en BTC in totaal.
Volgens de huidige communicatie gaat het om zeven verschillende slachtoffers die gezamenlijk flink wat geld zijn verloren door deze fout.
Diefstal
De aanvaller was in staat om het ’terugstuur adres’ van verschillende gebruikers te veranderen. Wanneer een trade niet lukt, wordt de bitcoin teruggestuurd naar een vooraf bekend adres.
De crimineel kon op deze manier het adres vervangen voor een eigen adres en zo de bitcoin en monero stelen. Een bitcoin transactie als deze is niet meer terug te draaien, nadat de transactie in een block is verwerkt is hij definitief.
Bisq
Bisq is een protocol waardoor je jouw BTC op je eigen adres kunt laten staan en toch kunt handelen. Maar wanneer dit soort fouten in de code zitten is ook op deze manier je bitcoin niet veilig.
Inmiddels zegt Bisq dat de fout is hersteld en de handel op het platform is weer open. Handelaren kunnen weer anoniem gebruik maken van het protocol, er is geen registratie of identificatie nodig.
Door het decentrale karakter van het protocol konden de developers de handel op hun platform wel stop zetten, maar gebruikers konden de maatregel negeren en alsnog handelen. Niet aan te raden met zo’n fout, maar het kon wel.
Er kunnen geen maatregelen worden getroffen door Bisq tegen de crimineel, net als bitcoin kan iedereen het gebruiken. In feite maakte de aanvaller gewoon gebruik van de functionaliteiten van het protocol, de vraag is echter hoe lokale autoriteiten dit beoordelen als de dader ooit wordt gepakt.
