Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phân quyền Augur, đây có lẽ là ứng dụng phân quyền cao nhất (dApp) được xây dựng trên mạng Ethereum.

Các lỗi, được tiết lộ thông qua nền tảng bug bounty HackerOne của nhà nghiên cứu bảo mật Viacheslav Sniezhkov, sẽ cho phép kẻ tấn công đưa dữ liệu lừa đảo vào giao diện người dùng của Augur. Điều này có khả năng dẫn việc người dùng bị ảnh hưởng thất thoát đi một lượng tiền đáng kể.

Việc khai thác này có thể được thực hiện bởi vì mặc dù chức năng cốt lõi của Augur – một thị trường dự đoán không thể kiểm soát cho phép người dùng đặt cược vào kết quả của hầu hết các sự kiện – được bảo mật bởi blockchain Ethereum phân quyền nhưng các tệp cấu hình giao diện người dùng được lưu trữ cục bộ trên máy tính của người dùng.

Do đó, hacker có thể tạo ra các trang web độc hại chứa các iframe ẩn (iframe là một tag HTML có tác dụng hiển thị một trang web trong một trang web khác) mà người dùng không hề biết, sửa đổi cài đặt cấu hình được lưu trữ trong các tệp cục bộ đó, từ đó giao diện người dùng Augur sẽ phân phát dữ liệu lừa đảo, đồng thời có khả năng lừa người dùng gửi tiền đến địa chỉ do hacker kiểm soát.

Lỗi này không có trong hợp đồng thông minh của Augur, cũng như trong trường hợp với Parity và DAO. Tuy nhiên, điều đó không có nghĩa là lỗ hổng này không nghiêm trọng.

Sniezhkov giải thích:

“Trang web của bên thứ ba có thể bao gồm iframe ẩn có thể ghi đè lên thông số cấu hình ‘augur-node’ của ứng dụng chạy augur. Biến số này được lưu giữ trong kho lưu trữ cục bộ. Trong trường hợp tải lại trang trình duyệt, điểm cuối websockets ‘augur-node’ bình thường sẽ được thay thế bằng cái được kẻ tấn công cung cấp vì thế tất cả dữ liệu, địa chỉ và giao dịch của thị trường có thể bị giả mạo”.

Sau khi tranh luận với Snizhkov trong vài ngày về mức độ nghiêm trọng của lỗ hổng (cụ thể là liệu nó có tạo thành lỗi giao diện người dùng hoặc điều gì đó nghiêm trọng hơn) thì Forecast Foundation, đơn vị giám sát quá trình phát triển giao thức Augur cuối cùng đã trả cho Sniezhkov 5.000 USD vì đã báo cáo lỗi này.

Hiện tại, không có dấu hiệu nào cho thấy việc khai thác đã được xử lý thành công để ăn cắp tiền của người dùng. Tuy nhiên, Forecast Foundation đã khuyên người dùng nên cập nhật lên phiên bản mới nhất của ứng dụng, đặc biệt khi lỗ hổng này hiện đã được công khai.

Theo báo cáo của CCN, các nhà phát triển của giao thức ban đầu đã kiểm soát “công tắc” có thể được sử dụng để tatsws nền tảng của thị trường dự đoán nếu một lỗi nghiêm trọng được phát hiện trong hợp đồng thông minh của Augur trong hai tuần sau khi khởi chạy dApp. Khi không tìm thấy lỗi nghiêm trọng nào, họ đã hủy bỏ công tắc này bằng cách chuyển quyền sở hữu công tắc cho một địa chỉ “đốt”.

Theo: TapchiBitcoin.vn/cnn