Преступники взломали торговый протокол Bisq v1.2 и вывели, по крайней мере, около 3 ВТС и 4000 XRM. Представители компании уверяют, что в ближайшее время все 7 жертв, которые лишились своих монет, получат компенсацию.

Служба безопасности криптовалютной биржи Bisq уже выступила с официальным заявлением и разъяснила, каким образом хакеры смогли вывести деньги из кошельков пользователей. Как говорится в документе, причиной стали не сами кошельки, где хранилась криптовалюта клиентов, а ошибки в протоколе, на основании которого совершаются сделки.

В частности, представители компании заявили, что Bisq v1.2, выпущенный в конце октября 2019 года, обновил свой торговый протокол. Это улучшило децентрализацию, удалив арбитров с третьим ключом в депозите, используемом для торговли биткоинами. Эти арбитры были заменены двумя новыми ролями: посредниками и арбитрами без ключей.

В отсутствие более доверенных третьих сторон новый торговый протокол также требовал, чтобы торговые стороны переводили средства в биткоинах на «адрес пожертвования» Bisq. Адрес для пожертвований устанавливается Bisq DAO и утверждается заинтересованными сторонами DAO. Программное обеспечение Bisq не проверило, что адрес выплаты по сделкам на самом деле был адресом пожертвования Bisq, установленным DAO перед подписанием и отправкой TX с синхронизированной выплатой торговому контрагенту. Мошенники просто воспользовались «слабостями» протокола и вывели средства на собственный адрес.

Как только сотрудники биржи отследили проблему, были приняты меры по прекращению торгов и блокировки транзакций. Сейчас проблема в протоколе устранена. Также руководство биржи заверило, что в ближайшее время все 7 жертв атаки получат компенсацию.

Безопасность бирж остается  слабой

Отметим, что это не первый случай кражи средств с криптовалютных бирж в текущем году. Раннее BeInCrypto сообщал, что хакеры взломали  биржу Altsbit и вывели практически все средства клиентов, которые хранились на «горячих» кошельках. Ущерб от кражи превысил несколько миллионов долларов.

Лаборатория безопасности Kraken неоднократно обращалась к владельцам криптовалютных бирж, чтобы они больше внимания уделяли безопасности. Как пример уязвимости бирж и кошельков, сотрудники Kraken решили самостоятельно взломать один из криптовалютных кошельков. Выбор пал на Trezor. Специалистам Kraken Security Labs. потребовалось всего 15 минут, чтобы воспользоваться уязвимостью системы и взломать кошелек.

Кроме того, специалисты обращаются и к держателям криптовалют, которые в первую очередь ответственны за сбережение средств. Сотрудники лаборатории безопасности Kraken предупреждают владельцев не хранить монеты на «горячих» кошельках, то есть там, где есть постоянная связь с интернетом. В идеале  хранить криптовалюты нужно на «холодных» кошельках, которые выглядят, как обычная флешка, а доступы от него лучше записать на листок бумаги и спрятать в надежном месте.