Tips
- Una reciente actualización del software de Bisq contenía un fallo crítico.
- Haciéndose pasar por un usuario, un hacker fue capaz de robar 3 Bitcoin y 4000 Monero de los comerciantes.
- Bisq promete reembolsar a las siete víctimas con futuros ingresos.
We do the research, you get the alpha!
El martes, el intercambio descentralizado de criptomonedas Bisq anunció que había sido hackeado. Aproximadamente 250.000 dólares de Bitcoin (BTC) y Monero (XMR) fueron robados. Desde entonces, el intercambio arregló el problema junto con la promesa de reembolsar completamente a las víctimas.
Bisq primero alertó a los usuarios del problema en un tweet. También detuvo abruptamente todo el comercio en la plataforma. En una declaración en su sitio web el miércoles, Bisq explicó que un hacker había explotado una falla en el protocolo de negociación de Bisq, apuntando a operaciones individuales para robar fondos.
"Estamos al tanto de aproximadamente 3 BTC y 4000 XMR robados de 7 víctimas diferentes", dijo la compañía. El único mercado afectado fue el mercado XMR/BTC, y todas las operaciones afectadas ocurrieron en los últimos 12 días", dijo la compañía.
Bisq se lanzó hace cuatro años como una plataforma p2p que permite a los usuarios comprar y vender criptodivisas directamente entre sí a cambio de monedas fiduciarias a través de un cliente de escritorio. La plataforma no tiene requisitos KYC, por lo que los usuarios pueden permanecer en privado.
Además, como se trata de un intercambio descentralizado, Bisq no almacena los fondos en un servidor, o cartera caliente conectada directamente a Internet, por lo que, a diferencia de los intercambios centralizados, no había un "honeypot" para desviar.
"Los usuarios afectados eran sólo los que participaban en intercambios activos", dijo Bisq en un hilo de Twitter.
Cómo ocurrió el hack
El atacante se hizo pasar por un usuario de la plataforma que vendía BTC para aprovechar una vulnerabilidad del sistema, dijo la empresa.
Normalmente, Bisq requiere que los vendedores encierren cualquier BTC que se venda en un depósito multisig junto con un depósito de seguridad. Si surge una disputa en el comercio y un mediador no puede encontrar una solución, los fondos se envían temporalmente a una dirección de reserva, conocida como "dirección de donación".
"Se supone que esto es algo raro en circunstancias extremas", dijo Bisq.
Pero en este caso, el hacker pudo establecer la dirección de la donación para que apunte a su propia dirección. Esto les permitió reclamar los fondos como propios.
"En lugar de ir al propietario legítimo, los activos digitales llegaron con el atacante, junto con el pago del comprador y el depósito de seguridad también", dijo el intercambio.
La falla del software que permitió que esto sucediera fue en una actualización publicada a finales de octubre. La nueva versión tenía como objetivo mejorar la descentralización eliminando a los terceros de confianza en el depósito multisig utilizado para los fondos de comercio de Bitcoin, pero la solución fracasó, permitiendo a los hackers poner un pie en la puerta.
Bisq dijo que planeaba compensar las pérdidas creando un contrato inteligente en el "Bisq DAO", que tendrá como objetivo compensar a las víctimas con futuros ingresos comerciales.
"La seguridad siempre ha sido una prioridad para Bisq, pero este incidente demuestra que no fue perfecto. El proyecto está evaluando varios enfoques para fortalecer aún más las revisiones y prácticas de seguridad, y los detallará pronto", dijo la compañía.
Por suerte, el intercambio no está verdaderamente descentralizado.