Ошибки и уязвимости в программном коде криптовалютных платформ не единожды приводили к потерям денег пользователей. Очередная ошибка, способная привести к серьёзным финансовым убыткам, найдена в платформе прогнозов Augur.
«Белый» хакер нашёл серьёзную проблему в Augur
Augur, проект, специализирующийся на предсказаниях и прогнозах рынка, пытается отслеживать настроения «толпы», которыми будут определяться дальнейшие тренды. Такая бизнес-модель может работать только тогда, когда платформа, на которой она построена, исправно функционирует. Но теперь работа Augur оказалась под угрозой — уязвимость в коде, обнаруженная хакером, позволяет распространять среди пользователей заведомо неправильные данные. Искажению при этом может подвергнуться вся информация, которая распространяется на платформе.
Специалисты называют использование подобных уязвимостей «фрейм-джекингом». Он подразумевает манипуляции HTML-кодом страницы для того, чтобы пользователи видели данные, которые нужны злоумышленнику. В таком случае данные будут исходить не из настроений и консенсуса пользователей Augur, а от злоумышленника.
Это может быть критичным для платформы, которая способна функционировать корректно только тогда, когда она выводит максимально точную информацию в реальном времени.
Программа поиска уязвимостей за вознаграждение дала результат
Особенно сильно подобные уязвимости «бьют» по проектам, которые основываются на доверии пользователей. Из-за своей децентрализации Augur не выживет без доверия: если на данные, которые транслирует этот проект, нельзя безоговорочно полагаться, у него нет будущего. Тот факт, что возможны подобные манипуляции данными, говорит о необходимости долгой и тщательной работы команды над своим стартапом.
К счастью, специалист, который нашёл уязвимость, не является злоумышленником, а работает в программе поиска уязвимостей за вознаграждение. Он объяснил схему возможных действий потенциального атакующего:
Пользователи переходят по ссылке, после чего данные Augur подменяются данными злоумышленника включая информацию о рынке и адреса Ethereum. Представьте, что эта уязвимость найдена не участником Bug Bounty Program. Преступник сможет разослать фишинговые ссылки пользователями, подменив адреса получателя токенов и заполучив их деньги.
Как разработчики Augur могли пропустить такую незаметную, но очень опасную уязвимость, остаётся непонятным. Пока ей никто не воспользовался, и клиенты сервиса никак не пострадали.
Пользователь, который обнаружил проблему и рассказал о ней, получил вознаграждение размером $5000. Это говорит об успешности программы Augur по поиску багов за вознаграждение: небольшая сумма позволила им защитить пользователей и платформу от потенциальных потерь в миллионы долларов.
Пользователи Augur обеспокоены тем, что подобные ошибки присутствуют на платформе и представляют потенциальную угрозу для их средств:
@WireProphet:
Такие вещи всегда напрягают, как бы Augur не стал очередным проектом, который окажется похороненным из-за никудышной команды, стоящей за ним.
@globalist88:
Придётся выводить деньги и не пользоваться сервисом, пока всё не поправят. С бесконечными взломами и так паранойя разбирает, а тут ещё и разработчики, оставляющие такие дыры. Ребята, начинайте работать по-человечески, то, что вы уже месяц работаете со здоровенной дырой в безопасности — ненормально.
Хочешь получать свежие новости о криптовалютах и блокчейне в Telegram? Тогда подписывайся на наш официальный паблик → https://t.me/ruscoinsinfo
Оригинал статьи: Хакеры нашли в Augur критическую уязвимость