White Hat хакер знайшов критичну вразливість в найвідомішому dapp Етереуму


Published on 09 Aug. 2018
0000  2

White Hat хакер виявив критичну вразливість в децентралізованому ринку передбачень Augur, мабуть, найбільш відомому  і одному з найстаріших децентралізованих додатків  (dApp), розроблених на базі Етереуму.

Помилка, оприлюднена через баг-баунті платформу HackerOne дослідником з безпеки Вячеславом Снєжковим (Viacheslav Sniezhkov), дозволила б зловмисникам вводити шахрайські дані у користувацький інтерфейс Augur, що потенційно призвело б до значних втрат коштів користувачів, яких би це зачепило.

Ця вразливість стала можливою через те, що, хоча основна функціональність Augur, нецензурованого ринку передбачень, який давав користувачам можливість робити ставки на результати практично будь-якої події, захищена децентралізованим блокчейном Етереуму, файли конфігурації UI зберігаються окремо, на комп'ютері користувача.

Отже хакери мають можливість розгортати зловмисні  сайти, які слугують прихованими плаваючими фреймами і можуть без відома користувача змінювати конфігурації, що зберігаються в локальних файлах, у цьому випадку інтерфейс Augur обслуговуватиме шахрайські дані, потенційно маючи можливість обманути користувача при пересиланні коштів на контрольовану хакерами адресу.

Як платформа для децентралізованого ринку передбачень, цей децентралізований додаток дозволяє криптовалютним користувачам створювати ринки передбачень практично для будь-якої події.

Слід наголосити, що помилка не була виявлена в смарт-контракті Augur, як це було у випадку із гучними інцидентами Parity та DAO. Однак це не означає, що вразливість була серйозною.

Як пояснив Снежков: 

Сторонній сайт може містити приховані айфрейми, які можуть перевизначити конфігурацію augur-ноди для запуску додатку Augur. Ця змінна зберігається в localStorage. У випадку перезавантаження сторінки браузера (за ініціативою користувача чи через збій браузера/операційної системи) звичайна кінцева точка augur-ноди буде замінена на надану зловмисником так, що всі ринкові дані, адреси і транзакції можуть бути замасковані.

Після кількаденного спарингу зі Снєжковим через цю вразливість (щодо того чи це помилка користувацького інтерфейсу, чи щось більш серйозне) Forecast Foundation, яка контролює розробку протоколу Augur, в кінцевому результаті нагородила Снєжкова $5000 за виявлення помилки, яка відтоді була виправлена.

Наразі немає жодних ознак того, що вразливість було успішно використано для крадіжки користувацьких коштів. Однак Forecast Foundation порадила користувачам оновити останню версію програмного забезпечення, особливо після того, як про вразливість стало відомо загалу.

Розробники протоколу  спершу передбачили “вбивчий вимикач”, який можна було використати, щоб ефективно вимкнути платформу для ринків передбачень, якщо в смарт-контракті Augur буде виявлено критичну помилку впродовж двох тижнів після запуску децентралізованого додатку. Коли не було виявлено жодної критичної помилки, вони знищили  “вбивчий вимикач”, скерувавши право власності на нього на адресу згоряння.


More news

Президент CBOE сподівається на перспективи ETF біткойна, незважаючи на нещодавнє рішення SEC


CBOE Global Markets Inc. могла б стати першою компанією, яка одержала схвалення для ETF біткойна, але чи це заповітне бажання реалізується залишається поки що очікувати.

15 Aug. 2018

У вересні в Києві пройде VIII Kyiv Blockchain Forum


3 вересня 2018 у концерт-холі «Оазис» (Липківського, 1А) – пройде VIII Kyiv Blockchain Forum - міжнародний галузевий форум, присвячений технології блокчейну і світу криптовалют.

15 Aug. 2018

Введення додаткових USDT на ринок повернуло біткойн назад вище $6300


Вчора актив Tether (USDT) спричинив відновлення ринку, коли загалом 90 млн USDT потрапили на ринки. Не було нового випуску, лише переміщення коштів зі скарбниці. У попередній транзакції у вівторок Tether надіслав 50 млн, тоді ще 40 млн ще однією транзакцією через кілька годин.

15 Aug. 2018