Белый хакер обнаруживает критическую уязвимость популярного приложения Augur

Белый хакер обнаружил серьезную уязвимость в децентрализованном рынке прогнозов Augur, возможно, наиболее распространенном децентрализованном приложении (dApp), построенном в сети Ethereum.

Ошибка, описанная на платформе Bugy Bounty HackerOne исследователем безопасности Вячеславом Снежковым, позволила бы злоумышленнику вводить мошеннические данные в пользовательский интерфейс Augur, что потенциально может привести к значительной потере средств со стороны пострадавших пользователей.

Эксплойт стал возможным благодаря тому, что в то время как основная функциональность Augur обеспечивается децентрализованным блокчейном Ethereum, файлы конфигурации UI хранятся локально на компьютере пользователя.

Следовательно, хакеры могут запускать вредоносные веб-сайты, которые включают скрытые фреймы, и, без ведома пользователя, изменять параметры конфигурации, хранящиеся в этих локальных файлах, так что пользовательский интерфейс Augur будет обслуживать мошеннические данные, потенциально обманывая пользователя при отправке средств на контролируемый хакером адрес.

Важно отметить, что ошибка не заключалась в смарт-контракте Augur, как это было в случае с громкими инцидентами Parity и DAO. Однако это не означает, что уязвимость не была серьезной.

Как пояснил Снежков:

«Сторонний сайт может включать скрытый iframe, переопределяющий переменную конфигурации «augur-node» для запуска приложения augur. Эта переменная сохраняется в localStorage. В случае перезагрузки страницы браузера (действия пользователя или сбоя браузера / ОС) обычная конечная точка веб-узлов «аугур-нода» будет заменена предоставленной злоумышленником так, что все данные, адреса и транзакции на рынках могут быть замаскированы».

После изучения открытой Снежковым уязвимости, а именно, является ли она ошибкой пользовательского интерфейса или чем-то более серьезным, Фонд Forecast, который контролирует разработку протокола Augur, в конечном итоге наградил хакера $ 5000.

В настоящее время нет никаких признаков того, что уязвимость была успешно использована для кражи средств. Тем не менее, Фонд Forecast рекомендовал пользователям обновиться до последней версии программного обеспечения, особенно после того, как информация об уязвимости стала общедоступной.