White Hat хакер знайшов критичну вразливість в найвідомішому dapp Етереуму


Published on 09 Aug. 2018
0000  2

White Hat хакер виявив критичну вразливість в децентралізованому ринку передбачень Augur, мабуть, найбільш відомому  і одному з найстаріших децентралізованих додатків  (dApp), розроблених на базі Етереуму.

Помилка, оприлюднена через баг-баунті платформу HackerOne дослідником з безпеки Вячеславом Снєжковим (Viacheslav Sniezhkov), дозволила б зловмисникам вводити шахрайські дані у користувацький інтерфейс Augur, що потенційно призвело б до значних втрат коштів користувачів, яких би це зачепило.

Ця вразливість стала можливою через те, що, хоча основна функціональність Augur, нецензурованого ринку передбачень, який давав користувачам можливість робити ставки на результати практично будь-якої події, захищена децентралізованим блокчейном Етереуму, файли конфігурації UI зберігаються окремо, на комп'ютері користувача.

Отже хакери мають можливість розгортати зловмисні  сайти, які слугують прихованими плаваючими фреймами і можуть без відома користувача змінювати конфігурації, що зберігаються в локальних файлах, у цьому випадку інтерфейс Augur обслуговуватиме шахрайські дані, потенційно маючи можливість обманути користувача при пересиланні коштів на контрольовану хакерами адресу.

Як платформа для децентралізованого ринку передбачень, цей децентралізований додаток дозволяє криптовалютним користувачам створювати ринки передбачень практично для будь-якої події.

Слід наголосити, що помилка не була виявлена в смарт-контракті Augur, як це було у випадку із гучними інцидентами Parity та DAO. Однак це не означає, що вразливість була серйозною.

Як пояснив Снежков: 

Сторонній сайт може містити приховані айфрейми, які можуть перевизначити конфігурацію augur-ноди для запуску додатку Augur. Ця змінна зберігається в localStorage. У випадку перезавантаження сторінки браузера (за ініціативою користувача чи через збій браузера/операційної системи) звичайна кінцева точка augur-ноди буде замінена на надану зловмисником так, що всі ринкові дані, адреси і транзакції можуть бути замасковані.

Після кількаденного спарингу зі Снєжковим через цю вразливість (щодо того чи це помилка користувацького інтерфейсу, чи щось більш серйозне) Forecast Foundation, яка контролює розробку протоколу Augur, в кінцевому результаті нагородила Снєжкова $5000 за виявлення помилки, яка відтоді була виправлена.

Наразі немає жодних ознак того, що вразливість було успішно використано для крадіжки користувацьких коштів. Однак Forecast Foundation порадила користувачам оновити останню версію програмного забезпечення, особливо після того, як про вразливість стало відомо загалу.

Розробники протоколу  спершу передбачили “вбивчий вимикач”, який можна було використати, щоб ефективно вимкнути платформу для ринків передбачень, якщо в смарт-контракті Augur буде виявлено критичну помилку впродовж двох тижнів після запуску децентралізованого додатку. Коли не було виявлено жодної критичної помилки, вони знищили  “вбивчий вимикач”, скерувавши право власності на нього на адресу згоряння.


More news

Боббі Лі прогнозує, що ціна біткойна знайде дно на рівні $2500


Ціна біткойна у січні 2019 року може знизитися до $2500 і це буде дном теперішнього ведмежого ринку, заявив співзасновник BTCC Боббі Лі (Bobby Lee) у своєму останньому прогнозі, який багато трейдерів вже вважають надто оптимістичним.

10 Dec. 2018

Криптовалютний ринок втрачає за ніч $16 млрд, активи падають на 10%-30%


Вночі криптовалютний ринок втратив близько $16 млрд своєї капіталізації, оскільки вона скоротилася з $123 млрд до $107 млрд.

07 Dec. 2018

Російський Газпромбанк відкриє платформу для торгівлі криптовалютами у своїй швейцарській філії


Російський державний банк запропонує сервіс лише клієнтам своєї швейцарської дочірньої компанії, очікується, що торгові операції розпочнуться в середині 2019 року.

07 Dec. 2018