Найдена серьёзная уязвимость на рынке прогнозов Augur

Так называемый белый хакер обнаружил серьезную уязвимость на рынке прогнозов Augur, который является возможно самым распространенным децентрализованным приложением (dApp) в сети Ethereum, пишет ccn.com.

Ошибка, найденая исследователем безопасности Вячеславом Снежковым, позволяла злоумышленнику вводить мошеннические данные в пользовательский интерфейс Augur, что потенциально привело бы к значительной потере средств со стороны пострадавших пользователей.

Это стало возможным благодаря тому, что некотрые из файлом всё же хранятся локально на компьютере пользователя. Следовательно, хакеры могут без ведома пользователя изменять параметры конфигурации, хранящиеся в этих локальных файлах, так что пользовательский интерфейс Augur будет обслуживать мошеннические данные, потенциально обманывая пользователя при отправке средств в контролируемый хакером адрес.

Важно, ошибка не заключалась в смарт-контракте Augur, как это было в случае с громкими инцидентами Parity и DAO. Однако это не означает, что уязвимость не была серьезной.

«Сторонний сайт может включать скрытый iframe, который может переопределять переменную конфигурации «augur-node» для запуска приложения augur. Эта переменная сохраняется в localStorage.», — пояснил Снежков.

После совместной работы со Снежковым, в течение нескольких дней, над серьезностью уязвимости (а именно, является ли это ошибкой пользовательского интерфейса или чем-то более серьезным) Фонд Forecast, который контролирует разработку протокола Augur, в конечном итоге наградил Снежкова суммой в $5000 за раскрытие ошибки.

Команда Augur рекомендует пользователям обновить клиент до последней версии, особенно после того, как эта уязвимость стала общедоступной.