White Hat хакер нашел критическую уязвимость в самом известном dapp Эфириума


Published on 09 Aug. 2018
0000  2

White Hat хакер обнаружил критическую уязвимость в децентрализованном рынке предсказаний Augur, пожалуй, наиболее самом известном и одном из старейших децентрализованных приложений (dApp), разработанных на базе Эфириума.

Ошибка, обнародованная через баг-баунти платформу HackerOne исследователем по безопасности Вячеславом Снежковым (Viacheslav Sniezhkov), позволила бы злоумышленникам вводить мошеннические данные в пользовательский интерфейс Augur, что потенциально привело бы к значительным потерям средств пользователей, которых бы это задело.

Эта уязвимость стала возможной из-за того, что, хотя основная функциональность Augur, нецензурированого рынка предсказаний, который давал пользователям возможность делать ставки на результаты практически любого события, защищенная децентрализованным блокчейном Эфириума, файлы конфигурации UI хранятся отдельно, на компьютере пользователя.

Итак хакеры имеют возможность разворачивать злонамеренные сайты, которые служат скрытыми плавающими фреймами и могут без ведома пользователя изменять конфигурации, хранящиеся в локальных файлах, в этом случае интерфейс Augur будет обслуживать мошеннические данные, потенциально имея возможность обмануть пользователя при пересылке средств на контролируемый хакерами адрес.

В качестве платформы для децентрализованного рынка предсказаний это децентрализованное приложение позволяет криптовалютным пользователям создавать рынки предсказаний практически для любого события.

Следует отметить, что ошибка не была обнаружена в смарт-контракте Augur, как это было в случае с громкими инцидентами Parity и DAO. Однако это не означает, что уязвимость была серьезной.

Как объяснил Снежков:

Сторонний сайт может содержать скрытые айфреймы, которые могут переопределить конфигурацию augur-ноды для запуска приложения Augur. Эта переменная хранится в localStorage. В случае перезагрузки страницы браузера (по инициативе пользователя или из-за сбоя браузера/операционной системы) обычная конечная точка augur-ноды будет заменена на предоставленную злоумышленником так, что все рыночные данные, адреса и транзакции могут быть замаскированы.

После многодневного спарринга со Снежковым через эту уязвимость (относительно того, была ли это ошибка пользовательского интерфейса, или что-то более серьезное) Forecast Foundation, которая контролирует разработку протокола Augur, в конечном итоге наградила Снежкова $5000 за обнаруженную ошибку, которая с тех пор была исправлена.

Пока нет никаких признаков того, что уязвимость была успешно использована для кражи пользовательских средств. Однако Forecast Foundation посоветовала пользователям обновить последнюю версию программного обеспечения, особенно после того, как об уязвимости стало известно общественности.

Разработчики протокола сначала предусмотрели "убийственный выключатель", который можно было бы использовать, чтобы эффективно выключить платформу для рынков предсказаний, если в смарт-контракте Augur будет обнаружено критическую ошибку в течение двух недель после запуска децентрализованного приложения. Когда не было обнаружено ни одной критической ошибки, они уничтожили "убийственный выключатель", направив право собственности на него в адрес сгорания.


More news

Рынок все еще в хорошей позиции - реальные объемы вдвое больше, чем показывает статистика: руководитель Binance


Генеральный директор Binance Чанпенг Чжао заявил, что крипторинок целом и Binance в частности все еще находятся в хорошем положении даже после почти года снижение цен.

12 Nov. 2018

Общий государственный долг США, который превышает $20 трлн, неизбежно приведет к большому криптобуму: инвесторы


Генеральный директор биржи ShapeShift, Эрик Вурхес (Erik Voorhees) заявил, что растущий долг США, который по состоянию на ноябрь составил около $21,7 трлн, неизбежно приведет к значительному криптовалютному всплеску.

12 Nov. 2018

Только те инвесторы, которые приобрели Petro в 2018 году, смогут торговать Petro к криптовалютам: президент Венесуэлы


Мейнстрим-издание Венесуэлы, TeleSUR TV, сообщает, что национальная криптовалюта страны, Petro, сможет торговаться к другим криптовалютам только, если она будет приобретена до конца 2018 года.

12 Nov. 2018