Trang chủ Tạp chí Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Hacker mũ trắng tìm thấy lỗ hổng lớn trong Ethereum DApp Augur

Một hacker mũ trắng đã phát hiện ra một lỗ hổng lớn trong thị trường dự đoán phân quyền Augur, đây có lẽ là ứng dụng phân quyền cao nhất (dApp) được xây dựng trên mạng Ethereum.

Các lỗi, được tiết lộ thông qua nền tảng bug bounty HackerOne của nhà nghiên cứu bảo mật Viacheslav Sniezhkov, sẽ cho phép kẻ tấn công đưa dữ liệu lừa đảo vào giao diện người dùng của Augur. Điều này có khả năng dẫn việc người dùng bị ảnh hưởng thất thoát đi một lượng tiền đáng kể.

Việc khai thác này có thể được thực hiện bởi vì mặc dù chức năng cốt lõi của Augur – một thị trường dự đoán không thể kiểm soát cho phép người dùng đặt cược vào kết quả của hầu hết các sự kiện – được bảo mật bởi blockchain Ethereum phân quyền nhưng các tệp cấu hình giao diện người dùng được lưu trữ cục bộ trên máy tính của người dùng.

Do đó, hacker có thể tạo ra các trang web độc hại chứa các iframe ẩn (iframe là một tag HTML có tác dụng hiển thị một trang web trong một trang web khác) mà người dùng không hề biết, sửa đổi cài đặt cấu hình được lưu trữ trong các tệp cục bộ đó, từ đó giao diện người dùng Augur sẽ phân phát dữ liệu lừa đảo, đồng thời có khả năng lừa người dùng gửi tiền đến địa chỉ do hacker kiểm soát.

Là một nền tảng thị trường dự đoán phân quyền, dApp này cho phép người dùng tiền mã hóa tạo ra các thị trường dự đoán cho hầu như mọi sự kiện.

Lỗi này không có trong hợp đồng thông minh của Augur, cũng như trong trường hợp với Parity và DAO. Tuy nhiên, điều đó không có nghĩa là lỗ hổng này không nghiêm trọng.

Sniezhkov giải thích:

“Trang web của bên thứ ba có thể bao gồm iframe ẩn có thể ghi đè lên thông số cấu hình ‘augur-node’ của ứng dụng chạy augur. Biến số này được lưu giữ trong kho lưu trữ cục bộ. Trong trường hợp tải lại trang trình duyệt, điểm cuối websockets ‘augur-node’ bình thường sẽ được thay thế bằng cái được kẻ tấn công cung cấp vì thế tất cả dữ liệu, địa chỉ và giao dịch của thị trường có thể bị giả mạo”.

Sau khi tranh luận với Snizhkov trong vài ngày về mức độ nghiêm trọng của lỗ hổng (cụ thể là liệu nó có tạo thành lỗi giao diện người dùng hoặc điều gì đó nghiêm trọng hơn) thì Forecast Foundation, đơn vị giám sát quá trình phát triển giao thức Augur cuối cùng đã trả cho Sniezhkov 5.000 USD vì đã báo cáo lỗi này.

Hiện tại, không có dấu hiệu nào cho thấy việc khai thác đã được xử lý thành công để ăn cắp tiền của người dùng. Tuy nhiên, Forecast Foundation đã khuyên người dùng nên cập nhật lên phiên bản mới nhất của ứng dụng, đặc biệt khi lỗ hổng này hiện đã được công khai.

Theo báo cáo của CCN, các nhà phát triển của giao thức ban đầu đã kiểm soát “công tắc” có thể được sử dụng để tatsws nền tảng của thị trường dự đoán nếu một lỗi nghiêm trọng được phát hiện trong hợp đồng thông minh của Augur trong hai tuần sau khi khởi chạy dApp. Khi không tìm thấy lỗi nghiêm trọng nào, họ đã hủy bỏ công tắc này bằng cách chuyển quyền sở hữu công tắc cho một địa chỉ “đốt”.

Theo: TapchiBitcoin.vn/cnn

MỚI CẬP NHẬT

Giá XRP tăng vọt lên mức cao nhất trong 3 năm khi lạc quan...

Khi Chủ tịch Ủy ban Chứng khoán và Giao dịch (SEC), ông Gary Gensler, chuẩn bị từ chức, một loại tiền điện tử từng...
apple

Apple thừa nhận lỗ hổng bảo mật khiến người dùng crypto bị lộ thông...

Vào thứ 2, Apple xác nhận các thiết bị của hãng đang đối mặt với nguy cơ bị exploit (tấn công khai thác) để...
Bitcoin

Dự trữ Bitcoin sẽ không giải quyết được khủng hoảng nợ của Hoa Kỳ

Theo Chủ tịch của một nhóm nghiên cứu phi lợi nhuận, kế hoạch thiết lập quỹ dự trữ Bitcoin chiến lược của Thượng nghị...

Token Ethena (ENA) tăng mạnh sau khi Deribit tích hợp USDe

Deribit, một trong những sàn giao dịch phái sinh crypto lớn nhất thế giới, có kế hoạch tích hợp USDe của Ethena làm tài...
phân tích kỹ thuật

Phân tích kỹ thuật tối ngày 22 tháng 11: XRP, ADA, OP, SOL và...

Tuần này, chúng ta sẽ xem xét chi tiết về Ripple (XRP), Cardano (ADA), Optimism (OP), Solana (SOL) và Dogecoin (DOGE). Phân tích kỹ thuật...
tiền điện tử

Khối lượng giao dịch tiền điện tử liên tiếp thiết lập kỷ lục vào...

Khối lượng giao dịch tiền điện tử hàng ngày trên các sàn giao dịch đã đạt mức cao nhất trong 12 tháng là 117...
eth

CryptoQuant: OI hợp đồng tương lai ETH đạt mức cao kỷ lục mới hơn...

Thị trường phái sinh Ethereum (ETH) có lẽ đang báo hiệu động lực tăng giá khi hợp đồng mở (OI)* hợp đồng tương lai...

Texas đang thảo luận về dự luật dự trữ chiến lược Bitcoin

Theo thông tin từ nhóm vận động phi lợi nhuận Satoshi Action Fund (SAF), dự luật dự trữ chiến lược Bitcoin đang được thảo...

Tin vắn Crypto 22/11: Bitcoin mới chỉ bắt đầu giai đoạn parabol trong chu...

Từ nhận định Bitcoin "mới chỉ bắt đầu giai đoạn parabol trong chu kỳ hiện tại" đến CFPB loại ví tiền điện tử ra...

Mùa Altcoin đầy sôi động: Đừng bỏ lỡ cơ hội đầu tư vào các...

Thị trường tiền điện tử vài tuần gần đây liên tục ghi nhận đà tăng trưởng bùng nổ mạnh mẽ. Đồng Bitcoin (BTC) gần...

Tập đoàn Charles Schwab cân nhắc giao dịch crypto, tân CEO ‘cảm thấy ngớ...

Charles Schwab, một trong những tập đoàn tài chính lớn nhất Hoa Kỳ, có kế hoạch tham gia thị trường crypto giao ngay khi...

Giá Popcat giảm mạnh, CatSlap bùng nổ ngày ra mắt. Meme coin hệ mèo...

Hãy quên Popcat đi! Một meme coin mới có tên CatSlap ($SLAP) vừa chính thức ra mắt và nhanh chóng trở thành cái tên...
Sandeep Nailwal của Polygon cảnh báo Rug Pulls memecoin

Các vụ kéo thảm memecoin như QUANT có thể thu hút sự đàn áp...

Sandeep Nailwal, đồng sáng lập mạng Ethereum layer-2 Polygon, cảnh báo rằng sự gia tăng các vụ lừa đảo liên quan đến memecoin có...

Các vụ kiện của SEC sẽ “âm thầm khép lại” sau khi Gensler từ...

Nhiều vụ kiện liên quan đến chứng khoán nhằm vào các công ty crypto tại Hoa Kỳ có khả năng sẽ “âm thầm khép...

[QC] Dogizen, ICO Đầu Tiên Trên Telegram, Thu Hút Được 1,4 Triệu USD Khi...

Trong thời gian ngắn, Dogizen đã thu hút sự chú ý trên khắp thế giới tiền điện tử, huy động được hơn 1,4 triệu...

The Graph (GRT) giới thiệu tiêu chuẩn GRC-20 cho cấu trúc dữ liệu Web3

The Graph, một hệ thống lập chỉ mục phi tập trung tương tự Google dành cho blockchain, đã giới thiệu một tiêu chuẩn dữ...