В Augur обнаружена серьезная уязвимость – разработчики баг оперативно исправили

В децентрализованной платформе рынков прогнозов Augur, которая является одним из наиболее популярных dApp в сети Эфириума, белый хакер обнаружил критическую уязвимость, – об этом сообщает CCN.

Ошибку описал на платформе баг-баунти HackerOne Вячеслав Снежков. Она дает возможность злоумышленникам в интерфейс Augur вводить мошеннические данные, что может привести к потере пользовательских средств.

Это возможно благодаря тому, что файлы конфигурации UI размещаются локально на ПК пользователей. Таким образом, хакеру ничего не стоит запускать вредоносные сайты, с помощью которых обслуживаются скрытые фреймы, и менять в них параметры конфигурации так, что пользователи ничего не заподозрят. А Augur будет обслуживать неправдивые данные, потенциально вводя пользователя в заблуждение при отправке средств на кошелек, находящийся под контролем хакера.

«Скрытый iframe может находиться на стороннем сайте, и он может переписывать переменные конфигурации ноды платформы для запуска приложения Augur. При этом переменная прописывается в localStorage. Когда страница браузера перезагрузится, данные будут заменены на те, что представлены злоумышленником. В результате все данные рынков, адреса и транзакции могут стать замаскированными», – объясняет Снежков.

Стоит уточнить, что уязвимость найдена не в самом смарт-контракте, как это, например, было с DAO или Parity, однако это не умаляет ее серьезности.

Фонд Forecast, который заведует разработкой протокола проекта наградил в итоге белого хакера 5 тысячами долларов за обнаружение ошибки. Баг оперативно был исправлен. И похоже, воспользоваться им в своих корыстных целях не успел никто. Тем не менее фонд рекомендует участникам сети обновить свое программное обеспечение до последней версии.

Напомним, команда платформы две недели после запуска сервиса контролировала так называемый «kill switch», с помощью которого можно было оперативно прекратить работу площадки, в случае если бы в умном контракте выявили критический баг. Поскольку уязвимостей тогда так и не было обнаружено, этот инструмент был уничтожен.






Добавить комментарий

Ваш e-mail не будет опубликован.

четырнадцать − 11 =