„Етичен“ хакер намери слабост в Augur (Ethereum DApp)
09.08.2018 9:03 2 мин. четене
"Белият" хакер е открил голяма уязвимост в децентрализирания пазар за предсказания Augur.
Децентрализираното приложение е може би най-популярното от рода си, което е изградено върху мрежата на Етериум.
Слабостта, разкрита от платформата HackerOne от изследователя по сигурността Вячеслав Сниежков, би позволила на нападателя да вмъкне измамни данни в потребителския интерфейс на Augur. Това би могло да доведе до значителна загуба на средства от страна на засегнатите потребители.
Това е възможно, защото докато основната функционалност на Augur – нецензурен прогнозен пазар, който позволява на потребителите да залагат на резултата от почти всяко събитие – е осигурен от децентрализираният блокчейн Етериум, конфигурационните файлове на потребителския интерфейс се съхраняват локално на компютъра на потребителя.
Следователно хакерите биха могли да разположат злонамерени уебсайтове, които да вкарват скрити ифреймове и без да знаят потребителите, да променят настройките за конфигурация, съхранени в тези локални файлове. Така потребителският интерфейс на Augur ще обслужва измамни данни, които потенциално подвеждат потребителя да изпраща средства на контролиран от хакери адрес.
Грешката не беше в интелигентния договор на Augur, какъвто беше случаят с инцидентите „Parity“ и „DAO“. Това обаче не означава, че уязвимостта не е сериозна.
Сниежков коментира:
Сайтът […] може да включва скрита ифрейм, който може да замени конфигурационната променлива „augur-node“ на приложението за автентичен букмейкър. Тази променлива се запазва в localStorage. В случай на презареждане на страницата на браузъра (действие на потребителя или браузър / операционна система), нормалната крайна точка „augur-node“ в мрежата ще бъде заменена с предоставената от атакуващия, така че всички данни, адреси и транзакции на пазарите да могат да бъдат маскирани.
Фондация „Forecast“, която ръководи разработването на протокола Augur , в крайна сметка е присъдила на Снежков $ 5,000 за разкриването на грешката, която вече е оправена.
-
1
Служител на британската полиция е осъден за кражба на 50 ВТС
17.07.2025 22:00 3 мин. четене -
2
SEC повдига обвинения срещу компания източила над $140 милиона
12.07.2025 17:30 2 мин. четене -
3
Великобритания обмисля продажбата на Биткойн за $7 милиарда
20.07.2025 17:00 2 мин. четене -
4
Индийска крипто претърпя пробив за $44 милиона – клиентите останаха защитени
21.07.2025 19:00 1 мин. четене -
5
Крипто кражбите достигат $2.1 милиарда през 2025 година
27.06.2025 16:00 3 мин. четене
Над $3 милиарда са източени от крипто индустрията до сега през 2025 година
Първата половина на 2025 г. вече се е превърнала в най-унищожителния период в историята на Web3 сигурността, според наскоро публикувания доклад за сигурността за полугодието на Hacken.
Министерството на правосъдието прекратява разследването срещу съоснователя на Kraken
Според доклад на Fortune Министерството на правосъдието на САЩ официално е прекратило разследването срещу съоснователя на Kraken Джеси Пауъл.
Индийска крипто претърпя пробив за $44 милиона – клиентите останаха защитени
Индийската крипто борса CoinDCX потвърди пробив в сигурността на стойност $44 милиона, свързан с една от вътрешните ѝ сметки за ликвидност.
Великобритания обмисля продажбата на Биткойн за $7 милиарда
Според нов доклад на The Telegraph Министерството на вътрешните работи на Обединеното кралство се готви да ликвидира огромно количество конфискувани криптовалути – Биткойн на стойност най-малко $7 милиарда.
-
1
Служител на британската полиция е осъден за кражба на 50 ВТС
17.07.2025 22:00 3 мин. четене -
2
SEC повдига обвинения срещу компания източила над $140 милиона
12.07.2025 17:30 2 мин. четене -
3
Великобритания обмисля продажбата на Биткойн за $7 милиарда
20.07.2025 17:00 2 мин. четене -
4
Индийска крипто претърпя пробив за $44 милиона – клиентите останаха защитени
21.07.2025 19:00 1 мин. четене -
5
Крипто кражбите достигат $2.1 милиарда през 2025 година
27.06.2025 16:00 3 мин. четене