Hack et Vulnérabilité Critique : Le DEX Bisq contraint à l'arrêt
Les hackers comptent peut-être commander de délicieuses bisques de langouste ou de homards dans un restaurant étoilé, avec leur butin. Le DEX Bisq vient de faire les frais d’une faille de sécurité dans leur système. Bilan de l’attaque : Des Bitcoins (BTC) et des Monero (XMR) détournés, un casse à 6 chiffres.
Un hack en mode 1.2
Le 8 avril 2020, Bisq annonce sur son blog la découverte d’une faille de sécurité dans son protocole de trading. Résultat des courses : 3 BTC et 4.000 XMR détournés, soit l’équivalent de 245 000 USD.
La faille touche principalement les marchés du Monero et du Bitcoin, et a affecté les transactions des 12 derniers jours. On déplore par ailleurs sept victimes.
Cette faille concerne la version 1.2 de Bisq publiée fin Octobre 2019, une version destinée à améliorer le processus de décentralisation.
Cette nouvelle version avait supprimé les intermédiaires avec une troisième clé et, les avait remplacés par des médiateurs ou des intermédiaires sans clé.
Une « bête » histoire d’adresse
En l’absence de tiers, les fonds sont temporairement stockés vers une « adresse de donation » de Bisq. Le DAO de Bisq choisit cette adresse avec l’accord de toutes les parties prenantes.
Cependant, le logiciel de Bisq n’a pas procédé à la vérification de la conformité de l’adresse de paiement avec celle approuvée par le DAO de Bisq, avant le verrouillage de la transaction.
Dès la découverte de l’attaque, les développeurs de Bisq ont utilisé la clé d’alerte pour stopper toutes les transactions.
La version 1.3 du protocole d’échange qui comprend un correctif à cette faille, est maintenant disponible. Les transactions restées en suspens jusqu’à la publication du correctif, peuvent maintenant être débloquées.
Le communiqué de Bisq souligne également que comme le DEX repose sur un réseau Peer to Peer, aucun problème n’est survenu au niveau des wallets et du stockage des fonds.
En parallèle, la création d’un nouveau mécanisme de financement dans le DAO de Bisq permettra de générer de futurs revenus, destinés en partie au remboursement des sept victimes.
Ça aurait pu être pire si la faille n’avait été découverte à temps et si le système ne possédait pas un gros bouton STOP. Un énième hack, en tant que crypto-blogueur, la plume ne frétille même plus sur de tels sujets, vu le nombre de piratages de crypto-exchanges. A quand une Tribune du meilleur hack ?
Recevez un condensé de l’actualité dans le monde des cryptomonnaies en vous abonnant à notre nouveau service de quotidienne et hebdomadaire pour ne rien manquer de l’essentiel Cointribune !
La mode c'est bien, mais la blockchain c'est l'avenir, on est d'accord non ?! C'est une super opportunité et un secteur en pleine évolution ! Au quotidien, mon travail c'est d'essayer de vulgariser au mieux les cryptos/blockchain qui paraissent pour beaucoup trop techniques.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.