Белый хакер Вячеслав Снежков, участник баг баунти-платформы HackerOne? обнаружил в протоколе блокчейн-стартапа Augur уязвимость, позволяющую фальсифицировать информацию, необходимую для оформления транзакции.
Используя эту атаку, хакеры могут подменить адреса криптокошелька. Ты думаешь, что отправил деньги в одно место, а они улетели в другое. Кроме того, злоумышленники могли создавать фиктивные рынки прогнозов.
Обнаруженный эксплойт относится к типу frame-jacking — атакам, использующим HTML-код, который отвечает за отображение данных. Находящийся под такой атакой пользователь получает данные совершенно из другого источника. Специалисты из HackerOne сообщают, что используя этот баг, хакеры могли бы отправлять фишинговые ссылки пользователям Augur, подменяя все Ethereum-адреса.
Разработчики Augur назвали обнаруженный эксплойт «глупой, простой и маленькой ошибкой», не повлиявшей на работу системы. Они уже исправили этот баг, тем не менее за его обнаружение Вячеслав Снежков получит $5000.
Представители стартапа советуют пользователям обновить клиент Augur и запастись терпением: сервис запущен только недавно, поэтому он еще слишком медленный и дорогой. «Это потребует времени, — сказал сооснователь Augur Джо Краг. — Наша платформа — проект с открытым исходным кодом, поэтому не стесняйтесь и находите баги. Я считаю, что сейчас основные проблемы сервиса — это скорость и стоимость транзакций. Думаю, мы увидим существенные улучшения в течение следующих двенадцати месяцев».
* * *
Читайте наш канал и общайтесь с нами и другими читателями в чате Telegram.
