Die dezentrale Börse Bisq meldete gestern einen Sicherheitsvorfall und stoppte den Handel auf der Plattform. Bisq bedient sich u.a. des Tor Netzwerks, um seinen Nutzern Anonymität zuzusichern und ermöglicht Peer-To-Peer-Transaktionen zwischen den Nutzern.
Nach eigener Aussage des Teams handelt sich um einen Exploit, der mittlerweile durch einen Fix behoben werden konnte. Allen Nutzer müssen ein Update auf die neueste Version des Bisq-Client durchführen.
Insgesamt wurden 4000 Monero und 3 Bitcoin von 7 Nutzern entwendet. Sie sollen direkt durch Bisq entschädigt werden, indem die Plattform den Schaden durch eingenommen Gebühren der DAO refinanziert. Insgesamt beläuft sich der Schaden umgerechnet auf rund 250.000 US-Dollar.
Wie funktioniert Bisq?
Im Gegensatz zu anderen Börsen, die als Unternehmen operieren, ist Bisq eine sogenannte „Dezentrale Autonome Organisation“ (DAO). Die Software läuft verteilt auf den Rechnern der Nutzer und bildet mithilfe des Tor-Netzwerks eine dezentrale Infrastruktur.
Somit hält Bisq keine Kryptwährungen, hat keine zentralen Server, kennt die Nutzer nicht und kann weder über deren Bankkonten, noch ihre Kryptowährungen verfügen. Letztere werden über ein Multisignatur Wallet verwaltet.
Im Zuge des Hacks kam gestern die Notbremse zum Einsatz. Unter Verwendung der „Alert Keys“ stoppte Bisq die Plattform. Nutzer hätten diese Aktion zwar ignorieren können, wurden aber dazu ermahnt dem zu folgen, weil der Handel auf Bisq nicht mehr sicher war.
Angreifer seit 2 Wochen aktiv
Über eine Sicherheitslücke war der Angreifer in der Lage die Sicherheitsmechanismen von Bisq auszuhebeln, die für einen Streitfall vorgesehen sind. Üblicherweise werden Bitcoin an eine Multisignatur Adresse geschickt. Kommt es zu Unstimmigkeiten zwischen Käufer und Verkäufer, die nicht durch einen Mediator geklärt werden können, dann gehen die Einlagen automatisch an eine sogenannte „Spendenadresse“.
Im vorliegenden Fall gelang es dem Angreifer, diese Adresse zu manipulieren. Dadurch erhielt er am Ende alle Coins, die im Zuge des Handelsverfahrens gebunden waren. Dementsprechend war auch nur der Handel zwischen Bitcoin und Monero betroffen, denn die Attacke wäre klarerweise mit involvierten Bankkonten nicht möglich gewesen.
Die Lücke, welche zu dem fatalen Exploit führte, entstand bereits im Oktober 2019, als Bisq ein Update erhielt.