По алгоритму биржи, как только Покупатель соглашался приобрести криптовалюту у Продавца, она депонировалась на промежуточном адресе до момента подтверждения факта оплаты.
Если Покупатель отказывался от перевода средств, арбитры возвращали средства обратно, пользуясь третьим ключом. Они потеряли доступ к эскроу-счету в новой версии, которая содержала уязвимость, позволившую хакеру заменить адрес на собственный кошелек.
Злоумышленник последовательно выбрал 7 крупных сделок с криптовалютами BTC и Monero, начиная и отказываясь от сделки. Средства, переведенные на эскроу-счета, попадали напрямую к хакеру. Арбитражеры и разработчики не могли помешать хищению средств из-за введенных правил децентрализации.
Справится с проблемой удалось после выпуска новой версии 1.3, атака лишила клиентов 3 BTC и 4000 XMR. Личность злоумышленника установить не удалось, биржа Bisq работает без верификации аккаунта, по упрощенной регистрации.