Trang chủ Tạp chí Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phân quyền Augur, đây có lẽ là ứng dụng phân quyền cao nhất (dApp) được xây dựng trên mạng Ethereum.

Các lỗi, được tiết lộ thông qua nền tảng bug bounty HackerOne của nhà nghiên cứu bảo mật Viacheslav Sniezhkov, sẽ cho phép kẻ tấn công đưa dữ liệu lừa đảo vào giao diện người dùng của Augur. Điều này có khả năng dẫn việc người dùng bị ảnh hưởng thất thoát đi một lượng tiền đáng kể.

Việc khai thác này có thể được thực hiện bởi vì mặc dù chức năng cốt lõi của Augur – một thị trường dự đoán không thể kiểm soát cho phép người dùng đặt cược vào kết quả của hầu hết các sự kiện – được bảo mật bởi blockchain Ethereum phân quyền nhưng các tệp cấu hình giao diện người dùng được lưu trữ cục bộ trên máy tính của người dùng.

Do đó, hacker có thể tạo ra các trang web độc hại chứa các iframe ẩn (iframe là một tag HTML có tác dụng hiển thị một trang web trong một trang web khác) mà người dùng không hề biết, sửa đổi cài đặt cấu hình được lưu trữ trong các tệp cục bộ đó, từ đó giao diện người dùng Augur sẽ phân phát dữ liệu lừa đảo, đồng thời có khả năng lừa người dùng gửi tiền đến địa chỉ do hacker kiểm soát.

Là một nền tảng thị trường dự đoán phân quyền, dApp này cho phép người dùng tiền mã hóa tạo ra các thị trường dự đoán cho hầu như mọi sự kiện.

Lỗi này không có trong hợp đồng thông minh của Augur, cũng như trong trường hợp với Parity và DAO. Tuy nhiên, điều đó không có nghĩa là lỗ hổng này không nghiêm trọng.

Sniezhkov giải thích:

“Trang web của bên thứ ba có thể bao gồm iframe ẩn có thể ghi đè lên thông số cấu hình ‘augur-node’ của ứng dụng chạy augur. Biến số này được lưu giữ trong kho lưu trữ cục bộ. Trong trường hợp tải lại trang trình duyệt, điểm cuối websockets ‘augur-node’ bình thường sẽ được thay thế bằng cái được kẻ tấn công cung cấp vì thế tất cả dữ liệu, địa chỉ và giao dịch của thị trường có thể bị giả mạo”.

Sau khi tranh luận với Snizhkov trong vài ngày về mức độ nghiêm trọng của lỗ hổng (cụ thể là liệu nó có tạo thành lỗi giao diện người dùng hoặc điều gì đó nghiêm trọng hơn) thì Forecast Foundation, đơn vị giám sát quá trình phát triển giao thức Augur cuối cùng đã trả cho Sniezhkov 5.000 USD vì đã báo cáo lỗi này.

Hiện tại, không có dấu hiệu nào cho thấy việc khai thác đã được xử lý thành công để ăn cắp tiền của người dùng. Tuy nhiên, Forecast Foundation đã khuyên người dùng nên cập nhật lên phiên bản mới nhất của ứng dụng, đặc biệt khi lỗ hổng này hiện đã được công khai.

Theo báo cáo của CCN, các nhà phát triển của giao thức ban đầu đã kiểm soát “công tắc” có thể được sử dụng để tatsws nền tảng của thị trường dự đoán nếu một lỗi nghiêm trọng được phát hiện trong hợp đồng thông minh của Augur trong hai tuần sau khi khởi chạy dApp. Khi không tìm thấy lỗi nghiêm trọng nào, họ đã hủy bỏ công tắc này bằng cách chuyển quyền sở hữu công tắc cho một địa chỉ “đốt”.

Theo: TapchiBitcoin.vn/cnn

MỚI CẬP NHẬT

Vốn hóa thị trường crypto đạt mức kỷ lục mới khi tài sản trong...

Tổng vốn hóa thị trường của tất cả các tài sản crypto đã đạt mức kỷ lục mới là 3,14 nghìn tỷ USD. Đợt...

Chủ tịch Gensler thúc giục tiền điện tử tuân thủ các quy tắc khi...

Chủ tịch Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), Gary Gensler, một lần nữa kêu gọi các sàn giao dịch crypto...
Ethereum

Chiến lược mô-đun của Ethereum: Giảm giá ngắn hạn, tăng giá dài hạn

Theo nghiên cứu mới, kiến trúc mô-đun của Ethereum không tốt cho hiệu suất giá token ngắn hạn nhưng mang lại khả năng phục...
bitcoin

Dòng ra từ thợ đào Bitcoin tăng vọt khi giá đạt mức cao mới

Thợ đào Bitcoin đang di chuyển lượng lớn tài sản ra khỏi ví khi giá của tiền điện tử hàng đầu về vốn hóa...

Không đánh thuế lãi vốn crypto tại Mỹ, dự trữ Bitcoin, áp dụng quốc...

Chính quyền của Tổng thống Trump được cho là đang lên kế hoạch loại bỏ thuế lãi vốn* đối với các đồng tiền điện...

Hamster Kombat ghi nhận khối lượng giao dịch hàng ngày 5,3 tỷ USD, 11...

Token cho ứng dụng Telegram Mini - Hamster Kombat, tiếp tục thu hút sự chú ý, ngay cả khi trò chơi Web3 gần đây...
Chính phủ Bhutan bán 33 triệu đô la BTC thông qua Binance

Chính phủ Bhutan chuyển 33 triệu đô la Bitcoin lên Binance

Chính phủ Bhutan đã chuyển một phần lượng Bitcoin (BTC) mà họ đang nắm giữ lên sàn giao dịch Binance, chuẩn bị cho việc...
World Liberty Financial

World Liberty Financial được Trump hậu thuẫn chọn Chainlink để thúc đẩy việc áp...

World Liberty Financial (WLFI), giao thức DeFi mới được gia đình Donald Trump hậu thuẫn, đã hợp tác với Chainlink để tạo điều kiện...
solana

Solana và Base là hệ sinh thái blockchain phổ biến nhất năm 2024: CoinGecko

Khi năm 2024 sắp kết thúc, CoinGecko đã công bố bản tóm tắt về các hệ sinh thái blockchain phổ biến nhất trong năm. Về...

ZKsync phê duyệt đề xuất phân phối 325 triệu token ZK để phát triển...

Cộng đồng ZKsync vừa thông qua ZKsync Ignite Program, một sáng kiến quan trọng nhằm phân phối 325 triệu token ZK (trị giá gần...

Ví Bitcoin của Satoshi Nakamoto hiện trị giá hơn 100 tỷ đô la, lọt...

Trong một dòng tweet gần đây, nhà sử học Bitcoin Pete Rizzo đã hồi tưởng về Satoshi Nakamoto, nhà sáng lập Bitcoin, lý giải...

Ấn Độ bắt giữ nghi phạm chính trong vụ hack sàn WazirX trị giá...

Cảnh sát Delhi, Ấn Độ đã đạt được tiến triển đáng kể trong cuộc điều tra vụ hack sàn crypto WazirX gây thiệt hại...

Các tổ chức mạnh tay đầu tư crypto: 57% dự định tăng phân bổ

Một con số ấn tượng, 65% người tham gia khảo sát có quan điểm lạc quan về dài hạn, và 63% đang cân nhắc...

Tìm thấy thi thể KOL crypto 25 tuổi bị bắt cóc và giết hại

Cảnh sát Canada đã xác nhận thi thể được phát hiện trong công viên Montreal là của KOL crypto 25 tuổi Kevin Mirshahi, theo...

Tin vắn Crypto 14/11: Bitcoin có thể vượt trội hơn altcoin trong phần còn...

Từ nhận định Bitcoin có thể vượt trội hơn altcoin trong phần còn lại của năm 2024 đến Coinbase đã mua Utopia Labs, sau...

Khám phá CET Tradeboard: Sự đổi mới trong giao dịch tiền điện tử từ...

Gần đây, nền tảng giao dịch crypto toàn cầu CoinEx đã chính thức ra mắt Bảng Xếp Hạng Khối Lượng Giao Dịch CET, với...