Головна » 2018 » Август » 27 » Белый хакер помогает Augur устранить уязвимость в системе
18:34
Белый хакер помогает Augur устранить уязвимость в системе
Белый хакер обнаружил пробой в одном из наиболее распространенных децентрализованных приложений, которое построено на сети Ethereum, Augur. Хакер, который во всю хочет помочь разработчикам усовершенствовать систему, описал обнаруженную им проблему через платформу Bugy Bounty HackerOne. Белым хакером оказался Вячеслав Снежков, который нашел проблему, позволяющую злоумышленникам вводить поддельные данные в пользовательский интерфейс Augur, что в дальнейшем могло бы повлечь за собой потерю средств со стороны пострадавших пользователей.
Как описано в сообщении хакера, пробой стал возможным благодаря тому, что платформа Augur, обеспечивающаяся децентрализованной блокчейн сетью Ethereum, хранит файлы конфигурации UI на отдельных локальных машинах каждого пользователя. Таким образом злоумышленники могли бы открывать на локальных компьютерах вредоносные сайты, устанавливать скрытое ПО и, без ведома пользователей, менять упомянутые выше настройки конфигурации, лежащие на компьютере. Это привело бы к тому, что пользовательский интерфейс Augur обслуживал бы не пользовательские, а мошеннические данные, обманывая тем самым пользователей в случае отправки средств на адрес, контролируемый хакером.
Хотим обратить внимание, что ошибка не заключается в самом контракте Augur smart, как это было в схожих ситуациях с Parity и DAO. Но все же уязвимость системы оказалась довольно серьезной.
Как прокомментировал ситуацию Снежков:
«Сторонний сайт может включать скрытый iframe, который может переопределять переменную конфигурации ‘ augur-node’, использующуюся для старта приложения Augur. Эта переменная хранится в localStorage. В случае перезагрузки страницы браузера (действия пользователя или сбоя браузера / ОС) обычная конечная точка веб-узлов ‘аугур-узел’ будет заменена предоставленной злоумышленником так, что все данные, адреса и транзакции на рынках будут замаскированы».
За разработкой протокола Augur отвечает фонд Forecast, который в течении нескольких дней ведет активный диалог с белым хакером, обнаружившим проблему и даже поощрил умельца наградой в размере $5000. Их задача стоит в том, чтобы выяснить, является ли данная уязвимость ошибкой интерфейса или чем-то более серьезным. Ведь на данный момент нет никаких подтверждений того, что уязвимость в системе уже была использована для кражи средств пользователей.
