白帽黑客发现以太坊DApp Augur的关键性漏洞

一名白帽黑客发现了分散预测市场Augur的一个重要漏洞,Augur目前可能是构建在以太坊网络上最受欢迎的Dapp程序。

安全研究院Viacheslav Sniezhkov通过漏洞赏金平台HackerOne披露这个漏洞将允许攻击者向Augur的用户界面注入欺诈性数据,这可能会导致受影响用户的资金大量流失。

虽然Augur的核心功能是预测市场情况,允许用户进行市场预判,所有的数据由分散式的以太坊区块链保护,UI配置文件存储用户信息的到本地计算机。

因此,黑客可以部署提供隐藏iframe的恶意网站,并且是在用户不知情的情况下,在本地文件中的配置设置修改存储,以便Augur UI提供欺诈数据,可能诱使用户向黑客控制发送资金地址。

这个漏洞不在Augur的智能合约中,就如Parity和DAO的事件一样。但这并不意味这个漏洞不值得去关注。

在与Snizhkov讨论漏洞的严重程度(即是否构成UI漏洞或更严重的问题)几天之后,负责监督Augur协议开发的Forecast Foundation最终授予Sniezhkov 5000美元用于披露该漏洞的黑客。

目前,没有迹象表明该漏洞被成功操作以窃取用户资金,但是Forecast Foundation已建议用户更新到最新版本的软件客户端,同时该漏洞现已被公开。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180809A0QV3D00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券