“Етичен” хакер намери слабост в Augur (Ethereum DApp)
09.08.2018 9:03 2 мин. четене
"Белият" хакер е открил голяма уязвимост в децентрализирания пазар за предсказания Augur.
Децентрализираното приложение е може би най-популярното от рода си, което е изградено върху мрежата на Етериум.
Слабостта, разкрита от платформата HackerOne от изследователя по сигурността Вячеслав Сниежков, би позволила на нападателя да вмъкне измамни данни в потребителския интерфейс на Augur. Това би могло да доведе до значителна загуба на средства от страна на засегнатите потребители.
Това е възможно, защото докато основната функционалност на Augur – нецензурен прогнозен пазар, който позволява на потребителите да залагат на резултата от почти всяко събитие – е осигурен от децентрализираният блокчейн Етериум, конфигурационните файлове на потребителския интерфейс се съхраняват локално на компютъра на потребителя.
Следователно хакерите биха могли да разположат злонамерени уебсайтове, които да вкарват скрити ифреймове и без да знаят потребителите, да променят настройките за конфигурация, съхранени в тези локални файлове. Така потребителският интерфейс на Augur ще обслужва измамни данни, които потенциално подвеждат потребителя да изпраща средства на контролиран от хакери адрес.
Грешката не беше в интелигентния договор на Augur, какъвто беше случаят с инцидентите “Parity” и “DAO”. Това обаче не означава, че уязвимостта не е сериозна.
Сниежков коментира:
Сайтът […] може да включва скрита ифрейм, който може да замени конфигурационната променлива “augur-node” на приложението за автентичен букмейкър. Тази променлива се запазва в localStorage. В случай на презареждане на страницата на браузъра (действие на потребителя или браузър / операционна система), нормалната крайна точка “augur-node” в мрежата ще бъде заменена с предоставената от атакуващия, така че всички данни, адреси и транзакции на пазарите да могат да бъдат маскирани.
Фондация “Forecast”, която ръководи разработването на протокола Augur , в крайна сметка е присъдила на Снежков $ 5,000 за разкриването на грешката, която вече е оправена.
-
1
Нов крипто проект източи парите на инвеститорите си
02.04.2024 9:00 2 мин. четене -
2
Нови шокиращи разкрития за срива на Terra (LUNA)
31.03.2024 11:00 2 мин. четене -
3
SEC пак ще завежда дело срещу крипто борса
11.04.2024 9:00 2 мин. четене -
4
Федералните прокурори обвиниха KuCoin в пране на пари
26.03.2024 20:48 2 мин. четене -
5
ИЗВЪНРЕДНО: Основателят на крипто борсата FTX получи присъда 25 години затвор
28.03.2024 18:03 1 мин. четене
Крипто експерт предупреждава за измамни крипто проекти
Блокчейн следователят ZachXBT отправи предупреждение към криптовалутната общност относно значителна транзакци, на стойност $1 милион, открита в мрежата Blast.
Крипто хакер бе осъден на 3 години затвор за кражбата на $12 милиона
В петък федерален съдия осъди инженера по сигурността Шакиб Ахмед на три години затвор и три години контролирано освобождаване за участието му в кражбата на над $12 милиона от две децентрализирани борси за криптовалути (DEX), работещи с блокчейна Solana.
Voyager Digital с важна крачка към компенсирането на кредиторите
Voyager Digital и нейните кредитори достигнаха критичен момент в процеса на възстановяване на компанията, отбелязвайки важен етап след обявяването ѝ в несъстоятелност.
Бившият директор на FTX ще обжалва присъдата си за 25 години затвор
Юридическият екип на бившия главен изпълнителен директор на FTX Сам “SBF” Банкман-Фрийд е предприел стъпки за оспорване на присъдата и наказанието му.
-
1
Нов крипто проект източи парите на инвеститорите си
02.04.2024 9:00 2 мин. четене -
2
Нови шокиращи разкрития за срива на Terra (LUNA)
31.03.2024 11:00 2 мин. четене -
3
SEC пак ще завежда дело срещу крипто борса
11.04.2024 9:00 2 мин. четене -
4
Федералните прокурори обвиниха KuCoin в пране на пари
26.03.2024 20:48 2 мин. четене -
5
ИЗВЪНРЕДНО: Основателят на крипто борсата FTX получи присъда 25 години затвор
28.03.2024 18:03 1 мин. четене
