White Hat хакер знайшов критичну вразливість в найвідомішому dapp Етереуму


Published on 09 Aug. 2018
0000  2

White Hat хакер виявив критичну вразливість в децентралізованому ринку передбачень Augur, мабуть, найбільш відомому  і одному з найстаріших децентралізованих додатків  (dApp), розроблених на базі Етереуму.

Помилка, оприлюднена через баг-баунті платформу HackerOne дослідником з безпеки Вячеславом Снєжковим (Viacheslav Sniezhkov), дозволила б зловмисникам вводити шахрайські дані у користувацький інтерфейс Augur, що потенційно призвело б до значних втрат коштів користувачів, яких би це зачепило.

Ця вразливість стала можливою через те, що, хоча основна функціональність Augur, нецензурованого ринку передбачень, який давав користувачам можливість робити ставки на результати практично будь-якої події, захищена децентралізованим блокчейном Етереуму, файли конфігурації UI зберігаються окремо, на комп'ютері користувача.

Отже хакери мають можливість розгортати зловмисні  сайти, які слугують прихованими плаваючими фреймами і можуть без відома користувача змінювати конфігурації, що зберігаються в локальних файлах, у цьому випадку інтерфейс Augur обслуговуватиме шахрайські дані, потенційно маючи можливість обманути користувача при пересиланні коштів на контрольовану хакерами адресу.

Як платформа для децентралізованого ринку передбачень, цей децентралізований додаток дозволяє криптовалютним користувачам створювати ринки передбачень практично для будь-якої події.

Слід наголосити, що помилка не була виявлена в смарт-контракті Augur, як це було у випадку із гучними інцидентами Parity та DAO. Однак це не означає, що вразливість була серйозною.

Як пояснив Снежков: 

Сторонній сайт може містити приховані айфрейми, які можуть перевизначити конфігурацію augur-ноди для запуску додатку Augur. Ця змінна зберігається в localStorage. У випадку перезавантаження сторінки браузера (за ініціативою користувача чи через збій браузера/операційної системи) звичайна кінцева точка augur-ноди буде замінена на надану зловмисником так, що всі ринкові дані, адреси і транзакції можуть бути замасковані.

Після кількаденного спарингу зі Снєжковим через цю вразливість (щодо того чи це помилка користувацького інтерфейсу, чи щось більш серйозне) Forecast Foundation, яка контролює розробку протоколу Augur, в кінцевому результаті нагородила Снєжкова $5000 за виявлення помилки, яка відтоді була виправлена.

Наразі немає жодних ознак того, що вразливість було успішно використано для крадіжки користувацьких коштів. Однак Forecast Foundation порадила користувачам оновити останню версію програмного забезпечення, особливо після того, як про вразливість стало відомо загалу.

Розробники протоколу  спершу передбачили “вбивчий вимикач”, який можна було використати, щоб ефективно вимкнути платформу для ринків передбачень, якщо в смарт-контракті Augur буде виявлено критичну помилку впродовж двох тижнів після запуску децентралізованого додатку. Коли не було виявлено жодної критичної помилки, вони знищили  “вбивчий вимикач”, скерувавши право власності на нього на адресу згоряння.


More news

Криптовалюти потребують більшого регулювання, ніж інші товари: колишній голова CFTC


Колишній голова Комісії з торгівлі товарними ф'ючерсами (CFTC) Ґері Ґенслер (Gary Gensler), який очолював організацію з середини 2009-го до початку 2014 року, нещодавно поділився своїми думками щодо регулювання криптовалют в інтерв'ю виданню Bloomberg.

17 Oct. 2018

Токенсейл індексу 100 найкращих криптовалют, Cryptoindex 100, стартує сьогодні


Криптовалюти зараз мають ринкову капіталізацію у розмірі більше 200 мільярдів доларів. На думку аналітиків, в найближчі роки капіталізація криптовалютного ринку може досягти 10 трильйонів доларів.

17 Oct. 2018

Нуріель Рубіні знову критикує криптовалюти у соціальних мережах


"Доктор Doom", таке прізвисько має відомий економіст Нуріель Рубіні (Nouriel Roubini) і він знову висловився критично у сірих тонах стосовно криптовалютного простору, припускаючи, що більшість діяльності у просторі - це шахрайство.

16 Oct. 2018