НАЧАЛО Крипто Крими

"Етичен" хакер намери слабост в Augur (Ethereum DApp)

АВГ. 9, 2018 09:03 1 МИН . ЧЕТЕНЕ
СПОДЕЛИ: СПОДЕЛЯНИЯ
 "Етичен" хакер намери слабост в Augur (Ethereum DApp)

"Белият" хакер е открил голяма уязвимост в децентрализирания пазар за предсказания Augur.

 


Децентрализираното приложение е може би най-популярното от рода си, което е изградено върху мрежата на Етериум.

Слабостта, разкрита от платформата HackerOne от изследователя по сигурността Вячеслав Сниежков, би позволила на нападателя да вмъкне измамни данни в потребителския интерфейс на Augur. Това би могло да доведе до значителна загуба на средства от страна на засегнатите потребители.

Това е възможно, защото докато основната функционалност на Augur - нецензурен прогнозен пазар, който позволява на потребителите да залагат на резултата от почти всяко събитие - е осигурен от децентрализираният блокчейн Етериум, конфигурационните файлове на потребителския интерфейс се съхраняват локално на компютъра на потребителя.

Следователно хакерите биха могли да разположат злонамерени уебсайтове, които да вкарват скрити ифреймове и без да знаят потребителите, да променят настройките за конфигурация, съхранени в тези локални файлове. Така потребителският интерфейс на Augur ще обслужва измамни данни, които потенциално подвеждат потребителя да изпраща средства на контролиран от хакери адрес.

Грешката не беше в интелигентния договор на Augur, какъвто беше случаят с инцидентите "Parity" и "DAO". Това обаче не означава, че уязвимостта не е сериозна.

Сниежков коментира:
Сайтът [...] може да включва скрита ифрейм, който може да замени конфигурационната променлива "augur-node" на приложението за автентичен букмейкър. Тази променлива се запазва в localStorage. В случай на презареждане на страницата на браузъра (действие на потребителя или браузър / операционна система), нормалната крайна точка "augur-node" в мрежата ще бъде заменена с предоставената от атакуващия, така че всички данни, адреси и транзакции на пазарите да могат да бъдат маскирани.

Фондация "Forecast", която ръководи разработването на протокола Augur , в крайна сметка е присъдила на Снежков $ 5,000 за разкриването на грешката, която вече е оправена.

СПОДЕЛИ: СПОДЕЛЯНИЯ

Подкрепете CryptoDNES

QR код към биткойн адреса:

QR код към етериум адреса:

Популярни Новини
Мнения (0)
Изкажете мнение
Още Крипто Крими новини

Съдят Ledger заради 'прикриване на пробива на сигурността'

Първоначалната жалба, подадена до Окръжния съд на САЩ за Северния окръг на Калифорния, твърди, че Ledger и Shopify (платформа за електронна търговия, която си партнира с Ledger) "небрежно са допуснали...
АПР. 11, 2021 17:10 1 МИН . ЧЕТЕНЕ

Съдия отхвърли искането на SEC за финансовите записи на директорите на Ripple

SEC беше поискала личните финансови записи за последните осем години на Брад Гарлингхаус и Крис Ларсен, настоящи и бивши главни мениджъри на Ripple. В неотдавнашното решение обаче Нетбърн постанови, ч...
АПР. 11, 2021 11:52 1 МИН . ЧЕТЕНЕ

12 години затвор за мъж опитал да си купи химическо оръжие с Биткойн

Джейсън Уилям Сисър, мъж от Мисури, се опита да купи опасно химическо оръжие в тъмната мрежа с Биткойн. Той каза на потенциалния продавач, че възнамерява да го използва скоро, като по този начин ще уб...
АПР. 10, 2021 11:55 1 МИН . ЧЕТЕНЕ

Изтекоха данните на половин милиард потребители на Facebook

Според анализатор на сигурността, чувствителна лична информация на над половин милиард потребители на Facebook е изтекла на добре известен хакерски форум - потенциален риск за милиони търговци на крип...
АПР. 5, 2021 13:12 2 МИН . ЧЕТЕНЕ
Абонирай се за Крипто Днес Бъди сред първите, които научават за нашите специални новини от крипто света