Белый хакер обнаружил уязвимость платформы Augur

Белый хакер выявил уязвимость платформы для прогнозов Augur, одного из самых популярных децентрализованных приложений сети Эфириум.


Специалист по безопасности Вячеслав Снежков описал баг приложения, с помощью которого злоумышленники могли бы дезинформировать пользователей Augur в мошеннических целях, вводя ложные данные в интерфейс приложения.

Уязвимость была обнаружена в ключевом функционале приложения Augur: файлы конфигурации UI хранятся локально на компьютере пользователя, что позволяет хакерам свободно менять параметры UI, запуская на компьютере пользователя скрытые фреймы через вредоносные веб-сайты.

Уязвимость содержится не в самом смарт-контракте, как это было в случае с Parity и DAO, однако, баг Augur все же грозил серьезными потерями для пользователей платформы.

«Сторонний сайт может включать скрытый iframe, который может менять переменную  узла «augur-node» . Эта переменная хранится в локальном хранилище. Когда страница браузера перезагружается, мошенники могут подменить переменную, изменив адреса и транзакции», — объяснил Снежков.

Несколько дней Снежкову и Forecast Foundation, контролирующей разработку протокола Augur, потребовалось для того, чтобы убедиться в том, что данная ошибка не является уязвимостью смарт-контракта. В конечном счете компания Forecast Foundation наградила благородного хакера суммой в 5 000 долларов.

В настоящее время нет никаких сообщений о том, что данная уязвимость Augur привела к краже пользовательских средств. Тем не менее, Forecast Foundation рекомендует обновить Augur до последней версии, особенно после того, как об уязвимости стало известно в СМИ.

Тем временем, платформа для ставок и предсказаний Augur продолжает расти. Пользователи создают различные голосования, обсуждая существование бога, распространение вирусов и ICO проекты, участники даже делают ставки на смерть известных личностей: Дональда Трампа, Джеффа Безоса и Уоррена Баффета.


Источник: bitnovosti.com