Новости Bisq. Отчет о критической уязвимости

Тема в разделе "Новости", создана пользователем TheFuzzStone, 11 апр 2020.

  1. TheFuzzStone

    Команда форума Администратор Модератор

    Регистрация:
    18 авг 2017
    Сообщения:
    303
    Симпатии:
    78
    1.png

    Около 24 часов назад мы обнаружили, что злоумышленник смог воспользоваться слабым местом в торговом протоколе децентрализованной биржи Bisq, нацеленным на отдельные сделки, с целью кражи депозита. Нам известно о примерно 3 BTC и 4000 XMR, украденных у 7 разных жертв. Это пока известная нам ситуация. Единственной пострадавшей парой была XMR/BTC, и все затронутые сделки произошли за последние 12 дней.

    Bisq v1.2, вышедшая в конце октября 2019 года, обновила свой торговый протокол. Благодаря этому улучшилась децентрализация за счёт удаления арбитров с третьим ключом к мультисиг эскроу, используемом для торговли Bitcoin. Эти арбитры были заменены на две новые роли: посредников и арбитров, не имеющих ключей к мультисиг эскроу. В связи с отсутствием третьих доверенных лиц новый торговый протокол также требовал, чтобы участники сделки переводили Bitcoin на "адрес пожертвования" Bisq по истечении временного лимита для решения вопросов, связанных с заблокированными сделками.

    Этот адрес пожертвования устанавливается Bisq DAO, а также утверждается заинтересованными сторонами DAO. Программное обеспечение Bisq не проверило, что адрес выплаты за сделки на самом деле является адресом пожертвования Bisq, установленным DAO, перед тем как подписать и отправить time-locked транзакцию контрагенту по сделке. Проще говоря, этот эксплойт был результатом ошибки в способе осуществления сделок Bisq, а не в способе хранения средств (то есть нет точки отказа, так как Bisq является P2P).

    Как только эта атака была обнаружена, разработчики Bisq использовали аварийный ключ для отключения всех торгов на бирже. Недостатки в торговом протоколе были исправлены в Bisq v1.3.0, который сейчас доступен для скачивания. Bisq корректно работает по принципу P2P, поэтому функционал alert-ключа может игнорироваться пользователями, что крайне нежелательно.

    В скором времени в Bisq DAO, механизме финансирования Bisq, будет создано предложение, целью которого является выплата 7 жертвам из будущих доходов от торгов.

    Безопасность всегда была главным приоритетом для Bisq, но этот инцидент показывает, что она не была идеальной. В рамках проекта проводится оценка нескольких подходов к укреплению системы безопасности, и в скором времени они будут подробно изложены.

    За последние 4 года работы в основной сети Bisq никогда не приходилось использовать аварийный ключ для включения "безопасного режима" на узлах Bisq, и это беспрецедентный случай для Bisq DAO. Сообщество разработчиков Bisq приносит искренние извинения за этот провал в системе безопасности.

    Источник: Statement on Critical Security Vulnerability

    Перевод:
    TheFuzzStone (@TheFuzzStone)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.