白帽黑客发现以太坊DApp Augur的关键性漏洞

一名白帽黑客发现了分散预测市场Augur的一个重要漏洞，Augur目前可能是构建在以太坊网络上最受欢迎的Dapp程序。

安全研究院Viacheslav Sniezhkov通过漏洞赏金平台HackerOne披露这个漏洞将允许攻击者向Augur的用户界面注入欺诈性数据，这可能会导致受影响用户的资金大量流失。

虽然Augur的核心功能是预测市场情况，允许用户进行市场预判，所有的数据由分散式的以太坊区块链保护，UI配置文件存储用户信息的到本地计算机。

因此，黑客可以部署提供隐藏iframe的恶意网站，并且是在用户不知情的情况下，在本地文件中的配置设置修改存储，以便Augur UI提供欺诈数据，可能诱使用户向黑客控制发送资金地址。

这个漏洞不在Augur的智能合约中，就如Parity和DAO的事件一样。但这并不意味这个漏洞不值得去关注。

在与Snizhkov讨论漏洞的严重程度（即是否构成UI漏洞或更严重的问题）几天之后，负责监督Augur协议开发的Forecast Foundation最终授予Sniezhkov 5000美元用于披露该漏洞的黑客。

目前，没有迹象表明该漏洞被成功操作以窃取用户资金，但是Forecast Foundation已建议用户更新到最新版本的软件客户端，同时该漏洞现已被公开。