اختراق أحد منصات التداول اللامركزية و سرقة 250 ألف دولار

شوقي دليمي 2020-04-09

دقيقة واحدة

محتال يسرق 250000 دولار من منصة Bisq لتبادل العملات الرقمية

في يوم الثلاثاء 7 أبريل، أعلنت منصة العملات الرقمية اللامركزية Bisq أنه تم اختراقها.

تم سرقة ما يقرب من 250000 دولار من عملات البيتكوين والمونيرو لتدخل المنصة في حالة صيانة منذ ذلك الحين لإصلاح المشكلة والخلل إلى جانب وعد بإعادة أموال الضحايا بالكامل.

قامت منصة Bisq أولا بتنبيه المستخدمين إلى المشكلة في تغريدة على تويتر كما أوقفت جميع عمليات التداول على المنصة.

أوضح بيان نشر يوم امس الأربعاء أن أحد المتسللين استغل خللا في بروتوكول تداول Bisq، مستهدفا التداولات الفردية لسرقة الأموال.

وقالت الشركة:

نحن على دراية بسرقة ما يقرب من 3 بيتكوين و 4000 عملة مونيرو من 7 ضحايا مختلفين، كان زوج التداول الوحيد المتأثر هو زوج XMR / BTC، وحدثت جميع الصفقات المتأثرة خلال الـ 12 يوم الماضي.

منصة BISQ اللامركزية والتي تعمل من نظير إلى نظير، والذي تم إطلاقها قبل أربع سنوات، تسمح المنصة للمستخدمين بشراء وبيع العملات المشفرة مباشرة من بعضهم البعض مقابل العملات الورقية عبر واجهة سطح المكتب.

لا تحتوي المنصة على فحوصات معرفة العميل “KYC” لذلك يمكن للمستخدمين الحفاظ على الخصوصية.

أيضا، ونظرا لأنها منصة لا مركزية، لا تخزن Bisq الأموال في سيرفر الموقع، أو المحفظة الساخنة المتصلة مباشرة بالإنترنت، على عكس المنصات المركزية.

أوضحت منصة Bisq في سلسلة رسائل على تويتر:

المستخدمون المتأثرون هم المتداولون في الصفقات النشطة فقط.

كيف حدث الاختراق:

قالت الشركة إن المهاجم تظاهر بأنه مستخدم على المنصة كان يبيع بيتكوين للاستفادة من ثغرة في النظام.

عادة، يتطلب Bisq من البائعين قفل أي بيتكوين يتم بيعه في حساب ضمان متعدد بالإضافة إلى إيداع ضمان.

إذا نشأ نزاع في التداول ولم يتمكن الوسيط من التوصل إلى حل، يتم إرسال الأموال مؤقتا إلى عنوان احتياطي، يُعرف باسم “عنوان التبرع”.

قالت منصة Bisq من المفترض أن يكون هذا حدثا نادرا في الظروف القاسية.

ولكن في هذا الحدث، تمكن الهاكر من تعيين عنوان التبرع وتحويله إلى عنوانه، وهو ما سمح له بالمطالبة بالأموال.

وقالت المنصة:

بدلا من الذهاب إلى المالك الشرعي، وصلت الأصول الرقمية إلى المحتال، جنبا إلى جنب مع دفع المشتري وإيداع الضمان أيضا.

كان عيب البرنامج الذي سمح بحدوث ذلك متضمن في تحديث صدر في أواخر أكتوبر.

كان الإصدار الجديد يهدف إلى تحسين اللامركزية عن طريق إزالة أطراف ثالثة موثوقة في الضمان متعدد الحسابات المستخدم في صناديق تداول البيتكوين، لكن الحل جاء بنتائج عكسية، مما أتاح للمتسلل الدخول إليه.

وقالت منصة Bisq إنها تخطط للتعويض عن الخسائر من خلال إنشاء عقد ذكي في “Bisq DAO” ، يهدف إلى سداد الضحايا من عائدات التداول المستقبلية.

كان الأمن دائما على رأس أولويات منصة Bisq، لكن هذا الحادث يظهر أن المنصة لم تكن مثالية تماما، صرحت الشركة بأن المشروع يقوم بتقييم العديد من الأساليب لتعزيز المراجعات والممارسات الأمنية بشكل أكبر، وسوف يقدم تفاصيل عنها قريبا.

محتالين انتحلوا صفة الدعم الفني لمنصة HitBTC واستغلوا أحد الضحايا لسرقة 23.2 بيتكوين