Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur.

Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phi tập trung Augur, đây có lẽ...

Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phi tập trung Augur, đây có lẽ là ứng dụng phân tán cao nhất (dApp) được xây dựng trên mạng Ethereum.

Các lỗi – được tiết lộ thông qua nền tảng bug bounty HackerOne của nhà nghiên cứu bảo mật Viacheslav Sniezhkov – sẽ cho phép kẻ tấn công đưa dữ liệu gian lận vào giao diện người dùng của Augur, có khả năng dẫn đến mất lượng tiền đáng kể cho một phần người dùng bị ảnh hưởng.

Việc khai thác này có thể được thực hiện bởi vì trong khi chức năng cốt lõi của Augur – một thị trường dự đoán không thể kiểm soát cho phép người dùng đặt cược vào kết quả của hầu như bất kỳ sự kiện nào – được bảo mật bởi blockchain Ethereum phân tán, các tệp cấu hình giao diện người dùng được lưu trữ cục bộ trên máy tính của người dùng.

Do đó, tin tặc có thể triển khai các trang web độc hại phục vụ các iframe ẩn mà người dùng không biết, sửa đổi cài đặt cấu hình được lưu trữ trong các tệp cục bộ đó, như vậy giao diện người dùng Augur sẽ phân phát dữ liệu gian lận, có khả năng lừa người dùng gửi tiền đến địa chỉ do hacker kiểm soát.

Là một nền tảng thị trường dự đoán phi tập trung, dApp này cho phép người dùng tiền điện tử tạo ra các thị trường dự đoán cho hầu như mọi sự kiện.

Lỗi này không có trong hợp đồng thông minh của Augur, cũng như trong trường hợp với Parity và DAO có cấu hình cao. Tuy nhiên, điều đó không có nghĩa là lỗ hổng này không nghiêm trọng.

Sniezhkov giải thích:

Trang web của bên thứ ba có thể bao gồm iframe ẩn có thể ghi đè lên biến cấu hình“augur-node” của ứng dụng chạy augur. Biến này được lưu giữ trong local Storage. Trong trường hợp tải lại trang trình duyệt, điểm cuối websockets “augur-node” bình thường sẽ được thay thế bằng kẻ tấn công cung cấp để tất cả dữ liệu, địa chỉ và giao dịch của thị trường có thể bị giả mạo.

Sau khi cãi nhau với Snizhkov trong vài ngày về mức độ nghiêm trọng của lỗ hổng (cụ thể là nó tạo thành lỗi giao diện người dùng hoặc điều gì đó nghiêm trọng hơn), Quỹ Dự báo – giám sát quá trình phát triển giao thức Augur – cuối cùng đã trả cho Sniezhkov 5.000 USD để tiết lộ lỗi, kể từ khi được vá.

Hiện tại, không có dấu hiệu nào cho thấy việc khai thác đã được xử lý thành công để ăn cắp tiền của người dùng. Tuy nhiên, Quỹ Dự báo đã khuyên người dùng nên cập nhật lên phiên bản mới nhất của ứng dụng, đặc biệt là do lỗ hổng hiện đã được công khai.

Theo CCN

Biên dịch bởi Bitcoin-news.vn

 

Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur.

5 (100%) 1 vote

 

 

Bitcoin News

- BitMEX Sàn giao dịch X100 -
Tokenizer
mua ban bitcoin || hot coin market || mua ban bitcoin || sàn giao dịch bitcoin || huong dan dao bitcoin || cau hinh may dao bitcoin || bitcoin la gi || ethereum la gi || huong dan dao eth || zcash la gi || huong dan dao xmr || huong dan bittrex moi nhat || huong dan trade coin co ban || huong dan trade tai san livecoin || huong dan trade tai san poloniex