白帽黑客发现以太坊DApp Augur的主要漏洞

    2018.8.9 15:25 lv Created with Sketch.

一名白帽黑客发现了分散预测市场Augur的一个主要漏洞,这可能是构建在以太坊网络上最受欢迎的分散式应用程序(dApp)。

安全研究员Viacheslav Sniezhkov通过漏洞赏金平台HackerOne 披露的这个漏洞将允许攻击者向Augur的用户界面注入欺诈性数据,这可能会导致受影响用户的资金大量流失。

这种利用成为可能,因为虽然Augur的核心功能 – 一个不可思议的预测市场,允许用户赌几乎任何事件的结果 – 由分散的以太坊区块链保护,UI配置文件存储在用户的计算机本地。

因此,黑客可以部署提供隐藏iframe的恶意网站,并且用户不知情,修改存储在这些本地文件中的配置设置,以便Augur UI提供欺诈性数据,可能诱使用户向黑客控制的发送资金地址。

重申一下,这个错误不在Augur智能合约中,就像高调的ParityDAO事件一样。但是,这并不意味着漏洞并不严重。

正如Sniezhkov解释的那样:

“第三方站点可以包含隐藏的iframe,它可以覆盖正在运行的augur应用程序的”augur-node“配置变量。此变量保留在localStorage中。在浏览器页面重新加载(用户操作或浏览器/操作系统崩溃)的情况下,正常的“augur-node”websockets端点将被攻击者提供的替换,以便所有市场数据,地址和交易都可以伪装。

在与Snizhkov讨论漏洞的严重程度(即是否构成UI漏洞或更严重的问题)几天之后,负责监督Augur协议开发的Forecast Foundation最终授予Sniezhkov 5000美元,用于披露该漏洞。自从被打了补丁。

目前,没有迹象表明该漏洞被成功操纵以窃取用户资金。但是,Forecast Foundation已建议用户更新到最新版本的软件客户端,特别是因为该漏洞现已公开。

正如CCN 报道的那样,该协议的开发者最初控制了一个“杀手开关”,可以用来有效地关闭预测市场的平台,如果在dApp发布后两周内在Augur智能合约中发现了一个关键错误。当没有发现任何严重错误时,他们通过将其所有权转移到“刻录地址”来有效地破坏了杀手开关。

声明:本网站登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。
新闻排行