Trang chủ Tạp chí Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phân quyền Augur, đây có lẽ là ứng dụng phân quyền cao nhất (dApp) được xây dựng trên mạng Ethereum.

Các lỗi, được tiết lộ thông qua nền tảng bug bounty HackerOne của nhà nghiên cứu bảo mật Viacheslav Sniezhkov, sẽ cho phép kẻ tấn công đưa dữ liệu lừa đảo vào giao diện người dùng của Augur. Điều này có khả năng dẫn việc người dùng bị ảnh hưởng thất thoát đi một lượng tiền đáng kể.

Việc khai thác này có thể được thực hiện bởi vì mặc dù chức năng cốt lõi của Augur – một thị trường dự đoán không thể kiểm soát cho phép người dùng đặt cược vào kết quả của hầu hết các sự kiện – được bảo mật bởi blockchain Ethereum phân quyền nhưng các tệp cấu hình giao diện người dùng được lưu trữ cục bộ trên máy tính của người dùng.

Do đó, hacker có thể tạo ra các trang web độc hại chứa các iframe ẩn (iframe là một tag HTML có tác dụng hiển thị một trang web trong một trang web khác) mà người dùng không hề biết, sửa đổi cài đặt cấu hình được lưu trữ trong các tệp cục bộ đó, từ đó giao diện người dùng Augur sẽ phân phát dữ liệu lừa đảo, đồng thời có khả năng lừa người dùng gửi tiền đến địa chỉ do hacker kiểm soát.

Là một nền tảng thị trường dự đoán phân quyền, dApp này cho phép người dùng tiền mã hóa tạo ra các thị trường dự đoán cho hầu như mọi sự kiện.

Lỗi này không có trong hợp đồng thông minh của Augur, cũng như trong trường hợp với Parity và DAO. Tuy nhiên, điều đó không có nghĩa là lỗ hổng này không nghiêm trọng.

Sniezhkov giải thích:

“Trang web của bên thứ ba có thể bao gồm iframe ẩn có thể ghi đè lên thông số cấu hình ‘augur-node’ của ứng dụng chạy augur. Biến số này được lưu giữ trong kho lưu trữ cục bộ. Trong trường hợp tải lại trang trình duyệt, điểm cuối websockets ‘augur-node’ bình thường sẽ được thay thế bằng cái được kẻ tấn công cung cấp vì thế tất cả dữ liệu, địa chỉ và giao dịch của thị trường có thể bị giả mạo”.

Sau khi tranh luận với Snizhkov trong vài ngày về mức độ nghiêm trọng của lỗ hổng (cụ thể là liệu nó có tạo thành lỗi giao diện người dùng hoặc điều gì đó nghiêm trọng hơn) thì Forecast Foundation, đơn vị giám sát quá trình phát triển giao thức Augur cuối cùng đã trả cho Sniezhkov 5.000 USD vì đã báo cáo lỗi này.

Hiện tại, không có dấu hiệu nào cho thấy việc khai thác đã được xử lý thành công để ăn cắp tiền của người dùng. Tuy nhiên, Forecast Foundation đã khuyên người dùng nên cập nhật lên phiên bản mới nhất của ứng dụng, đặc biệt khi lỗ hổng này hiện đã được công khai.

Theo báo cáo của CCN, các nhà phát triển của giao thức ban đầu đã kiểm soát “công tắc” có thể được sử dụng để tatsws nền tảng của thị trường dự đoán nếu một lỗi nghiêm trọng được phát hiện trong hợp đồng thông minh của Augur trong hai tuần sau khi khởi chạy dApp. Khi không tìm thấy lỗi nghiêm trọng nào, họ đã hủy bỏ công tắc này bằng cách chuyển quyền sở hữu công tắc cho một địa chỉ “đốt”.

Theo: TapchiBitcoin.vn/cnn

MỚI CẬP NHẬT

Những dự án này sẽ mở khóa 475 triệu USD vào tuần tới

Vào thứ Sáu, dữ liệu từ Tokenomist tiết lộ rằng thị trường tiền điện tử sẽ trải qua một đợt gia tăng nguồn cung...

Cộng đồng crypto hoảng sợ sau lời bình “Bitcoin là người chiến thắng” của...

Jim Cramer, người dẫn chương trình Mad Money, đã gây bất ngờ lớn cho cộng đồng đầu tư Bitcoin vào thứ Sáu, khi đưa...

Sui đang phát triển vượt bậc và cạnh tranh với Aptos để trở thành...

Hệ sinh thái blockchain Sui đã ghi nhận sự tăng trưởng ấn tượng trong thời gian gần đây, với sự gia tăng mạnh mẽ...

Giá Coin hôm nay 23/11: Bitcoin tiếp tục lập ATH mới sát $100.000, altcoin...

Bitcoin đang tiến gần đến mốc $100.000, được thúc đẩy bởi kỳ vọng về các quy định thân thiện của Hoa Kỳ và sự...

Trump chọn tỷ phú ủng hộ crypto Scott Bessent làm Bộ trưởng Tài chính

Tổng thống đắc cử Mỹ Donald Trump đã đề cử Scott Bessent, nhà quản lý quỹ đầu cơ và là người đam mê tiền điện...

Ngày phát hành token Magic Eden được ấn định vào 10 tháng 12

ME Foundation đã công bố lịch ra mắt token hệ sinh thái ME, được xây dựng trên nền tảng Solana và gắn liền với...

Cboe ra mắt quyền chọn Bitcoin thanh toán tiền mặt theo chỉ số ETF

Cboe Global Markets chuẩn bị ra mắt các quyền chọn thanh toán bằng tiền mặt đầu tiên gắn liền với giá Bitcoin giao ngay,...
ngay-23-11-phan-tich

Phân tích kỹ thuật ngày 23 tháng 11: BTC, ETH, SOL, BNB, XRP, DOGE,...

Bitcoin (BTC) đang cho thấy dấu hiệu tăng trưởng mạnh mẽ khi chỉ còn cách mốc tâm lý quan trọng $100.000 một khoảng ngắn...

DOGE tăng 6% sau khi có suy đoán mới về X Payments của Elon...

Dogecoin (DOGE) đã ghi nhận mức tăng 6%, đạt mức cao nhất trong nhiều năm qua, sau khi có thông tin rò rỉ liên...

Nghiên cứu: 76% người có sức ảnh hưởng trên X đã quảng bá memecoin...

Một nghiên cứu mới từ Coinwire tiết lộ rằng, hầu hết những người có sức ảnh hưởng (influencer) trong không gian crypto trên X...

Giá XRP tăng vọt lên mức cao nhất trong 3 năm khi lạc quan...

Khi Chủ tịch Ủy ban Chứng khoán và Giao dịch (SEC), ông Gary Gensler, chuẩn bị từ chức, một loại tiền điện tử từng...
apple

Apple thừa nhận lỗ hổng bảo mật khiến người dùng crypto bị lộ thông...

Vào thứ 2, Apple xác nhận các thiết bị của hãng đang đối mặt với nguy cơ bị exploit (tấn công khai thác) để...
Bitcoin

Dự trữ Bitcoin sẽ không giải quyết được khủng hoảng nợ của Hoa Kỳ

Theo Chủ tịch của một nhóm nghiên cứu phi lợi nhuận, kế hoạch thiết lập quỹ dự trữ Bitcoin chiến lược của Thượng nghị...

Token Ethena (ENA) tăng mạnh sau khi Deribit tích hợp USDe

Deribit, một trong những sàn giao dịch phái sinh crypto lớn nhất thế giới, có kế hoạch tích hợp USDe của Ethena làm tài...
phân tích kỹ thuật

Phân tích kỹ thuật tối ngày 22 tháng 11: XRP, ADA, OP, SOL và...

Tuần này, chúng ta sẽ xem xét chi tiết về Ripple (XRP), Cardano (ADA), Optimism (OP), Solana (SOL) và Dogecoin (DOGE). Phân tích kỹ thuật...
tiền điện tử

Khối lượng giao dịch tiền điện tử liên tiếp thiết lập kỷ lục vào...

Khối lượng giao dịch tiền điện tử hàng ngày trên các sàn giao dịch đã đạt mức cao nhất trong 12 tháng là 117...