Хакер-доброжелатель нашел серьезную уязвимость в приложении Augur на блокчейне эфириума. Это одно из самых популярных DApps в сети. Сервис используют для различных прогнозов, в том числе ставок на определенные события.
О найденной ошибке, которая грозила большими потерями пользователям, Вячеслав Снежков заявил на сайте HackerOne. Это ресурс для тех, кто хочет получить вознаграждение за свою работу по поиску багов.
После кропотливой работы над исправлением ошибки вместе со Снежковым фонд Forecast Foundation выплатил ему $5000.
Данных о том, что эксплойт был использован киберпреступниками, нет. Однако представители Augur просят всех обновить ПО до последней разработанной версии, ведь об уязвимости стало известно широкой общественности.
Ошибка не содержалась в смарт-контракте, как у Parity либо DAO. Но это не делает ее менее серьезной.
Уязвимость позволяла загружать в интерфейс пользователя любые мошеннические данные. Ведь файлы конфигурации UI в сервисе хранились на компьютере пользователя. Поэтому после перезагрузки браузера злоумышленники могли подменить их незаметно для своей жертвы.
Таким образом, киберпреступники получали возможность перенаправлять средства клиентов Augur на подконтрольные им адреса.
Взят средний курс по биржам
