一名白帽黑客发现了分散预测市场Augur的一个重要漏洞,Augur目前可能是构建在以太坊网络上最受欢迎的Dapp程序。
安全研究院Viacheslav Sniezhkov通过漏洞赏金平台HackerOne披露这个漏洞将允许攻击者向Augur的用户界面注入欺诈性数据,这可能会导致受影响用户的资金大量流失。
虽然Augur的核心功能是预测市场情况,允许用户进行市场预判,所有的数据由分散式的以太坊区块链保护,UI配置文件存储用户信息的到本地计算机。
因此,黑客可以部署提供隐藏iframe的恶意网站,并且是在用户不知情的情况下,在本地文件中的配置设置修改存储,以便Augur UI提供欺诈数据,可能诱使用户向黑客控制发送资金地址。
这个漏洞不在Augur的智能合约中,就如Parity和DAO的事件一样。但这并不意味这个漏洞不值得去关注。
在与Snizhkov讨论漏洞的严重程度(即是否构成UI漏洞或更严重的问题)几天之后,负责监督Augur协议开发的Forecast Foundation最终授予Sniezhkov 5000美元用于披露该漏洞的黑客。
目前,没有迹象表明该漏洞被成功操作以窃取用户资金,但是Forecast Foundation已建议用户更新到最新版本的软件客户端,同时该漏洞现已被公开。
分享到:
閱讀更多 區塊鏈研究實驗室 的文章
