Білий хакер допомагає Augur усунути уразливість в системі

Білий хакер виявив пробій в одному з найбільш поширених децентралізованих додатків, яке побудовано на мережі Ethereum, Augur. Хакер, який у всю хоче допомогти розробникам удосконалити систему, описав виявлену їм проблему через платформу Bugy Bounty HackerOne. Білим виявився хакером В’ячеслав Сніжків, який знайшов проблему, що дозволяє зловмисникам вводити підроблені дані в користувальницький інтерфейс Augur, що в подальшому могло б спричинити за собою втрату коштів з боку постраждалих користувачів.

Як описано в повідомленні хакера, пробою став можливим завдяки тому, що платформа Augur, забезпечується децентралізованої блокчейн мережею Ethereum, зберігає файли конфігурації UI на окремих локальних машинах кожного користувача. Таким чином зловмисники могли б відкривати на локальних комп’ютерах шкідливі сайти, встановлювати приховане ПЗ і, без відома користувачів, міняти згадані вище настройки конфігурації, що лежать на комп’ютері. Це призвело б до того, що користувальницький інтерфейс Augur обслуговував би не власні, а шахрайські дані, обманюючи тим самим користувачів у разі відправки коштів на адресу, контрольований хакером.

Хочемо звернути увагу, що помилка не полягає в самому контракті Augur smart, як це було в схожих ситуаціях з Parity та DAO. Але все ж уразливість системи виявилася досить серйозною.

Як прокоментував ситуацію Снєжков:

“Сторонній сайт може включати прихований iframe, який може змінити змінну конфігурації ‘augur-node’, яка використовується для старту програми Augur. Ця змінна зберігається в localStorage. У разі перезавантаження сторінки браузера (дії користувача або збою браузера / ОС) звичайна кінцева точка веб-сайтів ‘аугур-вузол’ буде замінена наданої зловмисником так, що всі дані, адреси і транзакції на ринках будуть замасковані”.

За розробкою протоколу Augur відповідає фонд Forecast, який протягом декількох днів веде активний діалог з білим хакером, виявили проблему і навіть заохотив умільця винагородою в розмірі $5000. Їх завдання стоїть в тому, щоб з’ясувати, чи є дана вразливість помилкою інтерфейсу або чимось більш серйозним. Адже на даний момент немає ніяких підтверджень того, що вразливість в системі вже була використана для крадіжки коштів користувачів.