НАЧАЛО Крипто Крими

"Етичен" хакер намери слабост в Augur (Ethereum DApp)

АВГ. 9, 2018 09:03 1 МИН . ЧЕТЕНЕ
СПОДЕЛИ: СПОДЕЛЯНИЯ
 "Етичен" хакер намери слабост в Augur (Ethereum DApp)

"Белият" хакер е открил голяма уязвимост в децентрализирания пазар за предсказания Augur.


Децентрализираното приложение е може би най-популярното от рода си, което е изградено върху мрежата на Етериум.

Слабостта, разкрита от платформата HackerOne от изследователя по сигурността Вячеслав Сниежков, би позволила на нападателя да вмъкне измамни данни в потребителския интерфейс на Augur. Това би могло да доведе до значителна загуба на средства от страна на засегнатите потребители.

Това е възможно, защото докато основната функционалност на Augur - нецензурен прогнозен пазар, който позволява на потребителите да залагат на резултата от почти всяко събитие - е осигурен от децентрализираният блокчейн Етериум, конфигурационните файлове на потребителския интерфейс се съхраняват локално на компютъра на потребителя.

Следователно хакерите биха могли да разположат злонамерени уебсайтове, които да вкарват скрити ифреймове и без да знаят потребителите, да променят настройките за конфигурация, съхранени в тези локални файлове. Така потребителският интерфейс на Augur ще обслужва измамни данни, които потенциално подвеждат потребителя да изпраща средства на контролиран от хакери адрес.

Грешката не беше в интелигентния договор на Augur, какъвто беше случаят с инцидентите "Parity" и "DAO". Това обаче не означава, че уязвимостта не е сериозна.

Сниежков коментира:
Сайтът [...] може да включва скрита ифрейм, който може да замени конфигурационната променлива "augur-node" на приложението за автентичен букмейкър. Тази променлива се запазва в localStorage. В случай на презареждане на страницата на браузъра (действие на потребителя или браузър / операционна система), нормалната крайна точка "augur-node" в мрежата ще бъде заменена с предоставената от атакуващия, така че всички данни, адреси и транзакции на пазарите да могат да бъдат маскирани.

Фондация "Forecast", която ръководи разработването на протокола Augur , в крайна сметка е присъдила на Снежков $ 5,000 за разкриването на грешката, която вече е оправена.

СПОДЕЛИ: СПОДЕЛЯНИЯ

Подкрепете CryptoDNES

QR код към биткойн адреса:

QR код към етериум адреса:

Популярни Новини
Мнения (0)
Изкажете мнение
Още Крипто Крими новини

Бивш директор на руската крипто борса Wex арестуван в Полша

Wex, който по-рано беше известен като BTC-e, беше добре позната борса "в тъмните среди" в първите дни на крипто индустрията. Твърди се, че там са били изпрани средства от множество високопрофилни крип...
СЕП. 19, 2021 13:36 1 МИН . ЧЕТЕНЕ

Мениджър на крипто хедж фондове осъден на 7 години във федерален затвор

В изявление от 15-ти септември от Министерството на правосъдието на САЩ (DoJ) се съобщава, че окръжният съдия на САЩ Валери Капрони връчи на Син 90-месечна присъда за измама на инвеститорите в размер ...
СЕП. 16, 2021 15:45 2 МИН . ЧЕТЕНЕ

SEC предприема действия срещу компаниите на китайски милиардер

Комисията по ценни книжа и борси на САЩ (SEC) повдигна обвинение срещу три от компаниите на китайския милиардер Гуо Венги за първоначално предлагане на монети (ICO) и първоначално публично предлагане ...
СЕП. 15, 2021 08:25 1 МИН . ЧЕТЕНЕ

Тази криптовалута се срина до $0 след хак на Avalanche

Zabu Finance разкри експлойта, като поиска помощ от Avalanche и популярните децентрализирани борси, хоствани от Avalanche, като Pangolin и Trader Joe:Портфейлът на екипът зад Zabu не е продал нит...
СЕП. 13, 2021 21:06 1 МИН . ЧЕТЕНЕ
Абонирай се за Крипто Днес Бъди сред първите, които научават за нашите специални новини от крипто света