White Hat хакер знайшов критичну вразливість в найвідомішому dapp Етереуму


Published on 09 Aug. 2018
0000  2

White Hat хакер виявив критичну вразливість в децентралізованому ринку передбачень Augur, мабуть, найбільш відомому  і одному з найстаріших децентралізованих додатків  (dApp), розроблених на базі Етереуму.

Помилка, оприлюднена через баг-баунті платформу HackerOne дослідником з безпеки Вячеславом Снєжковим (Viacheslav Sniezhkov), дозволила б зловмисникам вводити шахрайські дані у користувацький інтерфейс Augur, що потенційно призвело б до значних втрат коштів користувачів, яких би це зачепило.

Ця вразливість стала можливою через те, що, хоча основна функціональність Augur, нецензурованого ринку передбачень, який давав користувачам можливість робити ставки на результати практично будь-якої події, захищена децентралізованим блокчейном Етереуму, файли конфігурації UI зберігаються окремо, на комп'ютері користувача.

Отже хакери мають можливість розгортати зловмисні  сайти, які слугують прихованими плаваючими фреймами і можуть без відома користувача змінювати конфігурації, що зберігаються в локальних файлах, у цьому випадку інтерфейс Augur обслуговуватиме шахрайські дані, потенційно маючи можливість обманути користувача при пересиланні коштів на контрольовану хакерами адресу.

Як платформа для децентралізованого ринку передбачень, цей децентралізований додаток дозволяє криптовалютним користувачам створювати ринки передбачень практично для будь-якої події.

Слід наголосити, що помилка не була виявлена в смарт-контракті Augur, як це було у випадку із гучними інцидентами Parity та DAO. Однак це не означає, що вразливість була серйозною.

Як пояснив Снежков: 

Сторонній сайт може містити приховані айфрейми, які можуть перевизначити конфігурацію augur-ноди для запуску додатку Augur. Ця змінна зберігається в localStorage. У випадку перезавантаження сторінки браузера (за ініціативою користувача чи через збій браузера/операційної системи) звичайна кінцева точка augur-ноди буде замінена на надану зловмисником так, що всі ринкові дані, адреси і транзакції можуть бути замасковані.

Після кількаденного спарингу зі Снєжковим через цю вразливість (щодо того чи це помилка користувацького інтерфейсу, чи щось більш серйозне) Forecast Foundation, яка контролює розробку протоколу Augur, в кінцевому результаті нагородила Снєжкова $5000 за виявлення помилки, яка відтоді була виправлена.

Наразі немає жодних ознак того, що вразливість було успішно використано для крадіжки користувацьких коштів. Однак Forecast Foundation порадила користувачам оновити останню версію програмного забезпечення, особливо після того, як про вразливість стало відомо загалу.

Розробники протоколу  спершу передбачили “вбивчий вимикач”, який можна було використати, щоб ефективно вимкнути платформу для ринків передбачень, якщо в смарт-контракті Augur буде виявлено критичну помилку впродовж двох тижнів після запуску децентралізованого додатку. Коли не було виявлено жодної критичної помилки, вони знищили  “вбивчий вимикач”, скерувавши право власності на нього на адресу згоряння.


More news

BitPay запроваджує розрахунки в стейблкойнах, прив’язаних до долара


Провідний провайдер блокчейн-платежів, BitPay, оголосив, що дозволить торговцям здійснювати розрахунки у стейблкойнах, прив’язаних до долара, а саме - у Gemini Dollar (GUSD) та монетою компанії Circle, USD Coin (USDC).

16 Oct. 2018

З’явилося нове шкідливе ПЗ, яке майнить криптовалюти на iPhone


Зараз шаленими темпами поширюється новий тип шкідливих програм, орієнтованих на iPhone, які майнять на цих телефонах криптовалюти, йдеться у новому звіті Глобального рейтингу загроз від Check Point.

16 Oct. 2018

Віталік Бутерін: я шкодую, що впровадив термін «розумні контракти» в Етереумі


Співзасновник Етереуму, Віталік Бутерін (Vitalik Buterin), висловив свій жаль з приводу прийняття популярного визначення "розумні контракти" - терміну, який став майже синонімом Етереуму.

15 Oct. 2018