请选择 进入手机版 | 继续访问电脑版
链链财经 位置 加密货币 以太币 白帽黑客发现以太坊DApp Augur的主要漏洞

白帽黑客发现以太坊DApp Augur的主要漏洞

2018-8-9 10:48| 发布者: 链链财经| 查看: 1835| 评论: 0

摘要: 一名白帽黑客发现了分散预测市场Augur的一个主要漏洞,这可能是构建在以太坊网络上最受欢迎的分散式应用程序(dApp)。安全研究员Viacheslav Sniezhkov通过漏洞赏金平台HackerOne 披露的这个漏洞将允许攻击者向Augur ...


一名白帽黑客发现了分散预测市场Augur的一个主要漏洞,这可能是构建在以太坊网络上最受欢迎的分散式应用程序(dApp)。

安全研究员Viacheslav Sniezhkov通过漏洞赏金平台HackerOne 披露的这个漏洞将允许攻击者向Augur的用户界面注入欺诈性数据,这可能会导致受影响用户的资金大量流失。

这种利用成为可能,因为虽然Augur的核心功能——一个不可思议的预测市场,允许用户赌几乎任何事件的结果,由分散的以太坊区块链保护,UI配置文件存储在用户的计算机本地。

因此,黑客可以部署提供隐藏iframe的恶意网站,并且用户不知情,修改存储在这些本地文件中的配置设置,以便Augur UI提供欺诈性数据,可能诱使用户向黑客控制的发送资金地址。

作为一个分散的预测市场平台,这个dApp允许加密货币用户为几乎任何事件创建预测市场。

重申一下,这个错误不在Augur智能合约中,就像高调的Parity和DAO事件一样。但是,这并不意味着漏洞并不严重。

正如Sniezhkov解释的那样:

“第三方站点可以包含隐藏的iframe,它可以覆盖正在运行的augur应用程序的‘augur-node’配置变量。此变量保留在localStorage中。在浏览器页面重新加载(用户操作或浏览器/操作系统崩溃)的情况下,正常的‘augur-node’websockets端点将被攻击者提供的替换,以便所有市场数据,地址和交易都可以伪装。”

在与Snizhkov讨论漏洞的严重程度(即是否构成UI漏洞或更严重的问题)自从被打了补丁的几天之后,负责监督Augur协议开发的Forecast Foundation最终授予Sniezhkov 5000美元,用于披露该漏洞。

目前,没有迹象表明该漏洞被成功操纵以窃取用户资金。但是,Forecast Foundation已建议用户更新到最新版本的软件客户端,特别是因为该漏洞现已公开。

该协议的开发者最初控制了一个“杀手开关”,可以用来有效地关闭预测市场的平台,如果在dApp发布后两周内在Augur智能合约中发现了一个关键错误。当没有发现任何严重错误时,他们通过将其所有权转移到“刻录地址”来有效地破坏了杀手开关。

截止至发稿,Augur联合创始人Joey Krug对媒体表示,该平台近日发生的黑客攻击事件已得到解决,漏洞已修复。

※英文来源:CCN
※编译:链链财经。如需转载请注明来自“链链财经”(http://www.o-o-o.link)
郑重声明:转载文章仅为传播更多信息之目的,版权归原作者所有。如有侵权/错误不完整之处请第一时间与我们联系修改删除。 谢谢。内容分析仅供参考,并不构成任何投资意见或建议。风险自控。
  • 微信扫一扫关注公众号,掌握币圈第一手资讯

最新评论

返回顶部