НАЧАЛО Крипто Крими

"Етичен" хакер намери слабост в Augur (Ethereum DApp)

АВГ. 9, 2018 09:03 1 МИН . ЧЕТЕНЕ
СПОДЕЛИ: СПОДЕЛЯНИЯ
 "Етичен" хакер намери слабост в Augur (Ethereum DApp)

"Белият" хакер е открил голяма уязвимост в децентрализирания пазар за предсказания Augur.

 


Децентрализираното приложение е може би най-популярното от рода си, което е изградено върху мрежата на Етериум.

Слабостта, разкрита от платформата HackerOne от изследователя по сигурността Вячеслав Сниежков, би позволила на нападателя да вмъкне измамни данни в потребителския интерфейс на Augur. Това би могло да доведе до значителна загуба на средства от страна на засегнатите потребители.

Това е възможно, защото докато основната функционалност на Augur - нецензурен прогнозен пазар, който позволява на потребителите да залагат на резултата от почти всяко събитие - е осигурен от децентрализираният блокчейн Етериум, конфигурационните файлове на потребителския интерфейс се съхраняват локално на компютъра на потребителя.

Следователно хакерите биха могли да разположат злонамерени уебсайтове, които да вкарват скрити ифреймове и без да знаят потребителите, да променят настройките за конфигурация, съхранени в тези локални файлове. Така потребителският интерфейс на Augur ще обслужва измамни данни, които потенциално подвеждат потребителя да изпраща средства на контролиран от хакери адрес.

Грешката не беше в интелигентния договор на Augur, какъвто беше случаят с инцидентите "Parity" и "DAO". Това обаче не означава, че уязвимостта не е сериозна.

Сниежков коментира:
Сайтът [...] може да включва скрита ифрейм, който може да замени конфигурационната променлива "augur-node" на приложението за автентичен букмейкър. Тази променлива се запазва в localStorage. В случай на презареждане на страницата на браузъра (действие на потребителя или браузър / операционна система), нормалната крайна точка "augur-node" в мрежата ще бъде заменена с предоставената от атакуващия, така че всички данни, адреси и транзакции на пазарите да могат да бъдат маскирани.

Фондация "Forecast", която ръководи разработването на протокола Augur , в крайна сметка е присъдила на Снежков $ 5,000 за разкриването на грешката, която вече е оправена.

СПОДЕЛИ: СПОДЕЛЯНИЯ
Crypto Book
Свалете БЕЗПЛАТНО '10 Златни Правила на Крипто Инвеститора'

Научете всичко, което трябва да знаете за инвестиции в Биткойн и други криптовалути директно от хора с 7 годишен опит в сферата

warning

ВАЖНО: Ние никога няма да ви пращаме спам или да продаваме данните ви на трети лице.

Мнения (0)
Изкажете мнение
Още Крипто Крими новини

Някой прехвърли Биткойн за $5 милиона от откраднатите от Bitfinex средства

Някои от монетите продължават да се движат между портфейлите през годините, включително и този понеделник.Блокчейн данните показват, че неизвестен крипто потребител е преместил 270,97974 BTC от портфе...
ДЕК. 1, 2020 18:00 1 МИН . ЧЕТЕНЕ

XRP измамите нарастват в последните няколко дни

Тези атаки бяха забелязани за първи път през януари 2020 г. XRP Forensics публикува в Twitter, че през последните два дни с тях са се свързали повече от двадесет жертви.  Във всички тез...
НОЕ. 28, 2020 14:19 1 МИН . ЧЕТЕНЕ

Китайското правителство е продало криптовалутите, конфискувани от PlusToken

Колин Ву споделя снимки на официални документи за конфискацията на изключително големи количества BTC и ETH от крипто измамата PlusToken - най-голямата Понци схеми на Понци в крипто индустрията.  Той ...
НОЕ. 28, 2020 12:11 1 МИН . ЧЕТЕНЕ

Киберпрестъпници таргетират базирани на GoDaddy крипто платформи

Според KrebsOnSecurity атаките са започнали на или около 13-ти ноември срещу платформата за търговия с криптовалути liquid.com.Главният изпълнителен директор на Liquid Майк Каямори заяви, че GoDaddy н...
НОЕ. 22, 2020 20:55 1 МИН . ЧЕТЕНЕ
Абонирай се за Крипто Днес Бъди сред първите, които научават за нашите специални новини от крипто света