White Hat хакер нашел критическую уязвимость в самом известном dapp Эфириума
White Hat хакер обнаружил критическую уязвимость в децентрализованном рынке предсказаний Augur, пожалуй, наиболее самом известном и одном из старейших децентрализованных приложений (dApp), разработанных на базе Эфириума.
Ошибка, обнародованная через баг-баунти платформу HackerOne исследователем по безопасности Вячеславом Снежковым (Viacheslav Sniezhkov), позволила бы злоумышленникам вводить мошеннические данные в пользовательский интерфейс Augur, что потенциально привело бы к значительным потерям средств пользователей, которых бы это задело.
Эта уязвимость стала возможной из-за того, что, хотя основная функциональность Augur, нецензурированого рынка предсказаний, который давал пользователям возможность делать ставки на результаты практически любого события, защищенная децентрализованным блокчейном Эфириума, файлы конфигурации UI хранятся отдельно, на компьютере пользователя.
Итак хакеры имеют возможность разворачивать злонамеренные сайты, которые служат скрытыми плавающими фреймами и могут без ведома пользователя изменять конфигурации, хранящиеся в локальных файлах, в этом случае интерфейс Augur будет обслуживать мошеннические данные, потенциально имея возможность обмануть пользователя при пересылке средств на контролируемый хакерами адрес.
В качестве платформы для децентрализованного рынка предсказаний это децентрализованное приложение позволяет криптовалютным пользователям создавать рынки предсказаний практически для любого события.
Следует отметить, что ошибка не была обнаружена в смарт-контракте Augur, как это было в случае с громкими инцидентами Parity и DAO. Однако это не означает, что уязвимость была серьезной.
Как объяснил Снежков:
Сторонний сайт может содержать скрытые айфреймы, которые могут переопределить конфигурацию augur-ноды для запуска приложения Augur. Эта переменная хранится в localStorage. В случае перезагрузки страницы браузера (по инициативе пользователя или из-за сбоя браузера/операционной системы) обычная конечная точка augur-ноды будет заменена на предоставленную злоумышленником так, что все рыночные данные, адреса и транзакции могут быть замаскированы.
После многодневного спарринга со Снежковым через эту уязвимость (относительно того, была ли это ошибка пользовательского интерфейса, или что-то более серьезное) Forecast Foundation, которая контролирует разработку протокола Augur, в конечном итоге наградила Снежкова $5000 за обнаруженную ошибку, которая с тех пор была исправлена.
Пока нет никаких признаков того, что уязвимость была успешно использована для кражи пользовательских средств. Однако Forecast Foundation посоветовала пользователям обновить последнюю версию программного обеспечения, особенно после того, как об уязвимости стало известно общественности.
Разработчики протокола сначала предусмотрели "убийственный выключатель", который можно было бы использовать, чтобы эффективно выключить платформу для рынков предсказаний, если в смарт-контракте Augur будет обнаружено критическую ошибку в течение двух недель после запуска децентрализованного приложения. Когда не было обнаружено ни одной критической ошибки, они уничтожили "убийственный выключатель", направив право собственности на него в адрес сгорания.