<p><a class="user-mention" data-hovercard-type="user" data-hovercard-url="/hovercards?user_id=23560607" data-octo-click="hovercard-link-click" data-octo-dimensions="link_type:self" href="https://github.com/sqrrm">@sqrrm</a> I understand now your attack scenario (after out discussion). I summarize it here again and documment the protection idea:<br>
Attack: The scammer could use a sybil account (his own valid account or a colluding peer) to get a signature by doing a real trade. After he get signing right (e.g. after 1 month) he do a fake trade with the stolen account to that sybil and gets the signature as well. He does not use that stolen account for any transfer so it stay undetected. After 1 months he is fully trusted and he starts his cashout scam and don't suffer the delayed payout of the BTC.<br>
Protection: One a chargeback is detected we can check which account age witnesss owner has signed the scammer (the sybil in above case). We check who has signed the sybils account age and with that we detect the users who have really traded with the sybil. The get an alert in their app to report that user to the community and the account details (name, IBAN,...) of the sybil can be used for criminal prosecution. Just to have that option in place should increase the risk for the colluding peer a lot to not be part of it.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/bisq-network/proposals/issues/78#issuecomment-485815630">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AJFFTNWRGIHXJBYG5NREKPLPR4JDXANCNFSM4HHTGH4Q">mute the thread</a>.<img src="https://github.com/notifications/beacon/AJFFTNRJEVPNQK3EQ45TGRLPR4JDXANCNFSM4HHTGH4Q.gif" height="1" width="1" alt="" /></p>
<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/bisq-network/proposals","title":"bisq-network/proposals","subtitle":"GitHub repository","main_image_url":"https://github.githubassets.com/images/email/message_cards/header.png","avatar_image_url":"https://github.githubassets.com/images/email/message_cards/avatar.png","action":{"name":"Open in GitHub","url":"https://github.com/bisq-network/proposals"}},"updates":{"snippets":[{"icon":"PERSON","message":"@ManfredKarrer in #78: @sqrrm I understand now your attack scenario (after out discussion). I summarize it here again and documment the protection idea:\r\nAttack: The scammer could use a sybil account (his own valid account or a colluding peer) to get a signature by doing a real trade. After he get signing right (e.g. after 1 month) he do a fake trade with the stolen account to that sybil and gets the signature as well. He does not use that stolen account for any transfer so it stay undetected. After 1 months he is fully trusted and he starts his cashout scam and don't suffer the delayed payout of the BTC.\r\nProtection: One a chargeback is detected we can check which account age witnesss owner has signed the scammer (the sybil in above case). We check who has signed the sybils account age and with that we detect the users who have really traded with the sybil. The get an alert in their app to report that user to the community and the account details (name, IBAN,...) of the sybil can be used for criminal prosecution. Just to have that option in place should increase the risk for the colluding peer a lot to not be part of it. "}],"action":{"name":"View Issue","url":"https://github.com/bisq-network/proposals/issues/78#issuecomment-485815630"}}}</script>
<script type="application/ld+json">[
{
"@context": "http://schema.org",
"@type": "EmailMessage",
"potentialAction": {
"@type": "ViewAction",
"target": "https://github.com/bisq-network/proposals/issues/78#issuecomment-485815630",
"url": "https://github.com/bisq-network/proposals/issues/78#issuecomment-485815630",
"name": "View Issue"
},
"description": "View this Issue on GitHub",
"publisher": {
"@type": "Organization",
"name": "GitHub",
"url": "https://github.com"
}
}
]</script>