В Augur обнаружена уязвимость

Белый хакер обнаружил уязвимость в платформе Augur — сообщение об этом было обнародовано на платформе вознаграждений HackerOne.

Вячеслав Снежков, выявивший уязвимость на этом децентрализованном приложении, построенном на Ethereum, отметил, что злоумышленники имели возможность вводить данные в пользовательский интерфейс Augur, что могло потенциально привести к значительной потере средств со стороны пользователей.

Данная уязвимость стала возможной по причине того, что функционал Augur, рынка без цензуры, который позволяет пользователям делать ставки на исход практически любого события, основан на децентрализованном блокчейне Ethereum, в то время как файлы конфигурации UI хранятся локально на пользовательском компьютере.

Теоретически, хакеры имели возможность без ведома пользователя изменять параметры конфигурации, хранящиеся в локальных файлах, в результате чего пользователи отправляли бы средства на контролируемый мошенниками адрес.

Фонд Forecast Foundation выплатил Снежкову 5 000 $ за обнаружение уязвимости, которая была вскоре успешно исправлена. В настоящее время ничто не указывает на то, что данной уязвимостью кто-то воспользовался для кражи средств, однако пользователям все равно рекомендовано обновиться до последней версии клиента.