一名白帽黑客發現了分散預測市場Augur的一個重要漏洞,Augur目前可能是構建在以太坊網絡上最受歡迎的Dapp程序。
安全研究院Viacheslav Sniezhkov通過漏洞賞金平臺HackerOne披露這個漏洞將允許攻擊者向Augur的用戶界面注入欺詐性數據,這可能會導致受影響用戶的資金大量流失。
雖然Augur的核心功能是預測市場情況,允許用戶進行市場預判,所有的數據由分散式的以太坊區塊鏈保護,UI配置文件存儲用戶信息的到本地計算機。
因此,黑客可以部署提供隱藏iframe的惡意網站,並且是在用戶不知情的情況下,在本地文件中的配置設置修改存儲,以便Augur UI提供欺詐數據,可能誘使用戶向黑客控制發送資金地址。
這個漏洞不在Augur的智能合約中,就如Parity和DAO的事件一樣。但這並不意味這個漏洞不值得去關注。
在與Snizhkov討論漏洞的嚴重程度(即是否構成UI漏洞或更嚴重的問題)幾天之後,負責監督Augur協議開發的Forecast Foundation最終授予Sniezhkov 5000美元用於披露該漏洞的黑客。
目前,沒有跡象表明該漏洞被成功操作以竊取用戶資金,但是Forecast Foundation已建議用戶更新到最新版本的軟件客戶端,同時該漏洞現已被公開。
分享到:
閱讀更多 區塊鏈研究實驗室 的文章
