Hacker đánh cắp $ 250,000 từ sàn giao dịch phi tập trung Bisq nhờ lỗ hổng bản cập nhật mới

Vào thứ ba, sàn giao dịch phi tập trung Bisq tuyên bố rằng họ đã bị một hacker đánh cắp tiền bằng cách khai thác lỗ hổng của bản cập nhật. Khoảng 250.000 đô la BTC và XMR đã biến mất. Ngay sau đó sàn giao dịch đã đưa ra thông báo với phiên bản mới hơn cùng với lời hứa sẽ hoàn trả đầy đủ số tiền đã bị đánh cắp cho các nạn nhân.

Lần đầu tiên Bisq cảnh báo người dùng về vấn đề này trong một tweet. Sau đó họ cũng đột ngột tạm dừng tất cả giao dịch trên nền tảng. Trong một tuyên bố trên trang web hôm thứ Tư, Bisq giải thích rằng một hacker đã khai thác lỗ hổng trong giao thức giao dịch, nhắm vào các giao dịch riêng lẻ để đánh cắp tiền.

ICYMI. Bisq developers are investigating a critical security vulnerability, and the alert key has been used to temporarily disable trading. The hotfix release will be published within a few hours. https://t.co/GNuAf9pNYO

— Bisq (@bisq_network) April 7, 2020

“Chúng tôi biết khoảng 3 BTC và 4,000 XMR bị đánh cắp từ 7 nạn nhân khác nhau. Chỉ duy nhất một cặp bị ảnh hưởng là XMR/BTC và tất cả các giao dịch bị ảnh hưởng đã xảy ra trong 12 ngày qua”.

Bisq, một sàn giao dịch ngang hàng, đã ra mắt bốn năm trước, cho phép người dùng mua và bán tiền điện tử trực tiếp với nhau để đổi lấy tiền tệ thông qua một ứng dụng chạy trên máy tính để bàn. Nền tảng này không cần phải KYC, vì vậy người dùng có thể giữ riêng tư.

Ngoài ra, vì là một sàn giao dịch phi tập trung, Bisq không lưu trữ tiền trong một máy chủ hoặc chúng được lưu trữ bằng ví nóng được kết nối trực tiếp với internet, nên không giống như trong các sàn giao dịch tập trung, không có “cơ chế bảo mật hoặc chống lại các nỗ lực sử dụng trái phép các hệ thống thông tin”.

TLDR of the critical security vulnerability.

Affected users were those involved in active trades only.

The flaw had to do with the way Bisq trades are carried out, not in the way funds are stored.https://t.co/xbRstVXyfn

— Bisq (@bisq_network) April 8, 2020

Vụ hack xảy ra như thế nào

Kẻ tấn công đóng giả làm người dùng trên nền tảng đang bán BTC để tận dụng lỗ hổng trong hệ thống.

Thông thường, Bisq yêu cầu người bán khóa lượng BTC được bán trong một ký quỹ nhiều khoản cùng với một khoản tiền gửi bảo mật. Nếu có xảy ra tranh chấp trong giao dịch và một hòa giải viên không thể đưa ra giải pháp, các khoản tiền tạm thời được gửi đến một địa chỉ dự phòng, được gọi là “địa chỉ quyên góp”.

Nhưng trong sự kiện này, hacker đã có thể đặt địa chỉ quyên góp đến địa chỉ của chính họ. Điều này cho phép họ chiếm đoạt thành của riêng.

“Thay vì đến chủ sở hữu hợp pháp, các tài sản kỹ thuật số đã đến với kẻ tấn công, cùng với khoản thanh toán và tiền gửi bảo mật của người mua”.

Lỗ hổng phần mềm dẫn đến vụ hack là trong một bản cập nhật được phát hành vào cuối tháng 10. Phiên bản mới này nhằm mục đích cải thiện sự phân cấp bằng cách loại bỏ các bên thứ ba trong ký quỹ multisig được sử dụng cho các quỹ giao dịch Bitcoin, nhưng giải pháp này đã phản tác dụng, cho phép hacker xâm nhập vào hệ thống.

“Bảo mật luôn luôn là ưu tiên hàng đầu của Bisq, nhưng sự cố này cho thấy nó không hoàn hảo. Dự án đang nghiên cứu một số cách tiếp cận để tăng cường đánh giá và thực hành bảo mật hơn nữa, và sẽ sớm thông tin chi tiết về chúng”.

• Công cụ tạo mã QR Bitcoin giả mạo đánh cắp hơn 40.000 đô la
• Scammers tung ra kế hoạch lừa đảo ‘ETH 2.0 PoS Mining’ tinh vi

Ông Giáo

Theo Decrypt