黑客利用去中心化比特币交易所Bisq中的漏洞窃取$250K

去中心化交易所（DEX）Bisq昨晚敲响了警钟，此前黑客利用一个重要的软件漏洞从用户那里窃取了价值超过25万美元的加密货币。

Bisq允许用户匿名交易所加密货币，在发现“严重的安全漏洞”后，它在星期二晚上突然禁用了交易。

当时，交易所没有发布有关漏洞性质或用户资金是否安全的任何信息。但是在暂停交易18个小时后，Bisq表示，在发现攻击者利用该软件的漏洞来窃取其他用户的加密货币之后，迈出了“前所未有的一步”。

“大约24小时前，我们发现攻击者能够利用Bisq贸易协议中的漏洞，针对个人交易以窃取交易资金。我们知道，有7名不同的受害者盗窃了大约3个BTC和4,000 XMR。这是迄今为止我们所知道的情况。” Bisq在给CoinDesk的一份声明中说。

根据CoinDesk截至发稿时的数据，被盗的加密货币价值约为22,000美元的比特币（BTC）和230,000美元的monero（XMR）。总计超过25万美元。

为了进行盗窃，攻击者能够将其他用户的默认后备地址（如果交易失败，将加密货币发送到的目标地址）设置为自己的默认后备地址。作为卖方，他们将与买方进行交易，并只等待时间限制用完。数字资产不是去找合法所有者，而是随攻击者一起到达，买家的付款和保证金也一起到达了。

另请参阅：Binance的DEX现在通过CipherTrace支持AML合规性

该缺陷是交易协议最近更新的一部分，该协议旨在改善去中心化并从平台中删除受信任的第三方。

Bisq设法在世界标准时间周三12:00之前修复了该漏洞，并在发布之前告诉CoinDesk，交易又恢复了。

早在2018年末，Bisq就作为去中心化的自治组织（DAO）架构的交易所发布在testnet上。它的工作方式与其他DEX大致相同，但是由于没有注册或身份验证的要求，用户可以进行匿名交易。

使用基于分布式网络的平台，每个用户都可以有效地充当节点。尽管Bisq的开发人员已暂停交易，但该交易所的去中心化性质意味着用户可以根据需要撤消暂停交易。

另请参阅：新的加密货币交易所山寨币bit说它将在黑客入侵后关闭

在大多数情况下，如果是黑客攻击，则攻击者可以永久退出交易平台。 Bisq并非如此。 DEX的一名相关开发人员告诉CoinDesk，尽管该漏洞已修复，但没有任何措施可以阻止攻击者（其身份无法得知）再次访问平台并在平台上进行交易。

开发人员说：“任何人都可以使用Bisq，没有审查制度。” “就像任何人都可以使用比特币一样，没有办法禁止某人使用比特币。”