На платформе Augur белый хакер нашел серьезную уязвимость

Специалист по безопасности, так называемый белый хакер Вячеслав Снежков обнаружил в ключевом функционале платформы Augur — децентрализованного приложения эфириум-сети, одного из самых популярных среди пользователей, — критическую уязвимость.

Снежков представил описание бага, которое злоумышленники могут применять для дезинформации пользователей в мошеннических целях путем ввод в интерфейс ложных данных. Файлы конфигурации UI находятся на пользовательском ПК, поэтому хакеры могут запускать на таком устройстве скрытые фреймы и без труда вносить любые изменения в параметры UI.

Несмотря на то, что уязвимость найдена не непосредственно в смарт-контракте, как было с Parity и DAO, но баг Augur все же потенциально может стать причиной больших потерь для пользователей.

«Алгоритм следующий. Сторонний сайт запускает скрытый iframe, который меняет переменную узла augur-node, которая находится в локальном хранилище данных. При выполнении перезагрузки страницы в браузере мошенникам предоставляется возможность изменить адреса и транзакции», — поясняется в описании.

Снежков и Forecast Foundation убедились, что уязвимость никоим образом не относится к смарт-контракту. В результате компания Forecast Foundation поощрила хакера суммой в 5 тыс. долл.

На сегодняшний день не было еще ни одного сообщения о том, что уязвимость привела к краже средств, тем не менее Forecast Foundation настоятельно рекомендует провести обновление Augur до последней версии.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: