Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phi tập trung Augur, có lẽ là ứng dụng phân tán cao nhất (dApp) được xây dựng trên mạng Ethereum.
Các lỗi, được tiết lộ thông qua nền tảng bounty HackerOne của nhà nghiên cứu bảo mật Viacheslav Sniezhkov, sẽ cho phép kẻ tấn công đưa dữ liệu gian lận vào giao diện người dùng của Augur, có khả năng dẫn đến mất tiền đáng kể cho một phần người dùng bị ảnh hưởng.
Việc khai thác này có thể được thực hiện bởi vì trong khi chức năng cốt lõi của Augur – một thị trường dự đoán không thể kiểm soát cho phép người dùng đặt cược vào kết quả của hầu như bất kỳ sự kiện nào – được bảo mật bởi blockchain Ethereum phân tán, các tệp cấu hình giao diện người dùng được lưu trữ cục bộ trên máy tính của người dùng.
Do đó, tin tặc có thể triển khai các trang web độc hại phục vụ các iframe ẩn và người dùng không biết, sửa đổi cài đặt cấu hình được lưu trữ trong các tệp cục bộ đó, như vậy giao diện người dùng Augur sẽ phân phát dữ liệu gian lận, có khả năng lừa người dùng gửi tiền đến một hacker kiểm soát địa chỉ.
Để nhắc lại, lỗi này không có trong hợp đồng thông minh của Augur, cũng như trường hợp với sự kiện Parity và DAO có cấu hình cao. Tuy nhiên, điều đó không có nghĩa là lỗ hổng này không nghiêm trọng.
Sau khi tranh cãi với Snizhkov trong vài ngày về mức độ nghiêm trọng của lỗ hổng (cụ thể là nó tạo thành lỗi giao diện người dùng hoặc điều gì đó nghiêm trọng hơn), Quỹ Dự báo, giám sát quá trình phát triển giao thức Augur, cuối cùng đã trao cho Sniezhkov 5.000 đô la để tiết lộ lỗi, kể từ khi được vá.
Hiện tại, không có dấu hiệu nào cho thấy việc khai thác đã được xử lý thành công để ăn cắp tiền của người dùng. Tuy nhiên, Quỹ Dự báo đã khuyên người dùng nên cập nhật lên phiên bản mới nhất của ứng dụng khách phần mềm, đặc biệt là do lỗ hổng hiện đã được công khai.
Theo báo cáo của CCN, các nhà phát triển của giao thức ban đầu kiểm soát “công tắc đóng” có thể được sử dụng để đóng cửa nền tảng dự đoán một cách hiệu quả nếu một lỗi nghiêm trọng được phát hiện trong hợp đồng thông minh của Augur trong hai tuần sau khi khởi động dApp. Khi không tìm thấy lỗi nghiêm trọng nào, chúng đã phá hủy một cách hiệu quả công tắc đóng bằng cách chuyển quyền sở hữu nó thành “địa chỉ ghi”.
Nguồn CCN
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
