Ошибки и уязвимости в программном коде криптовалютных платформ не единожды приводили к потерям денег пользователей. Очередная ошибка, способная привести к серьёзным финансовым убыткам, найдена в платформе прогнозов Augur.

обзор ICO Augur( REP)

«Белый» хакер нашёл серьёзную проблему в Augur

Augur, проект, специализирующийся на предсказаниях и прогнозах рынка, пытается отслеживать настроения «толпы», которыми будут определяться дальнейшие тренды. Такая бизнес-модель может работать только тогда, когда платформа, на которой она построена, исправно функционирует. Но теперь работа Augur оказалась под угрозой — уязвимость в коде, обнаруженная хакером, позволяет распространять среди пользователей заведомо неправильные данные. Искажению при этом может подвергнуться вся информация, которая распространяется на платформе.

Специалисты называют использование подобных уязвимостей «фрейм-джекингом». Он подразумевает манипуляции HTML-кодом страницы для того, чтобы пользователи видели данные, которые нужны злоумышленнику. В таком случае данные будут исходить не из настроений и консенсуса пользователей Augur, а от злоумышленника.

Augur работает с уязвимостью

Это может быть критичным для платформы, которая способна функционировать корректно только тогда, когда она выводит максимально точную информацию в реальном времени.

Программа поиска уязвимостей за вознаграждение дала результат

Особенно сильно подобные уязвимости «бьют» по проектам, которые основываются на доверии пользователей. Из-за своей децентрализации Augur не выживет без доверия: если на данные, которые транслирует этот проект, нельзя безоговорочно полагаться, у него нет будущего. Тот факт, что возможны подобные манипуляции данными, говорит о необходимости долгой и тщательной работы команды над своим стартапом.

К счастью, специалист, который нашёл уязвимость, не является злоумышленником, а работает в программе поиска уязвимостей за вознаграждение. Он объяснил схему возможных действий потенциального атакующего:

Пользователи переходят по ссылке, после чего данные Augur подменяются данными злоумышленника включая информацию о рынке и адреса Ethereum. Представьте, что эта уязвимость найдена не участником Bug Bounty Program. Преступник сможет разослать фишинговые ссылки пользователями, подменив адреса получателя токенов и заполучив их деньги.

Как разработчики Augur могли пропустить такую незаметную, но очень опасную уязвимость, остаётся непонятным. Пока ей никто не воспользовался, и клиенты сервиса никак не пострадали.

Пользователь, который обнаружил проблему и рассказал о ней, получил вознаграждение размером $5000. Это говорит об успешности программы Augur по поиску багов за вознаграждение: небольшая сумма позволила им защитить пользователей и платформу от потенциальных потерь в миллионы долларов.

Пользователи Augur обеспокоены тем, что подобные ошибки присутствуют на платформе и представляют потенциальную угрозу для их средств:

@WireProphet:

Такие вещи всегда напрягают, как бы Augur не стал очередным проектом, который окажется похороненным из-за никудышной команды, стоящей за ним.

@globalist88:

Придётся выводить деньги и не пользоваться сервисом, пока всё не поправят. С бесконечными взломами и так паранойя разбирает, а тут ещё и разработчики, оставляющие такие дыры. Ребята, начинайте работать по-человечески, то, что вы уже месяц работаете со здоровенной дырой в безопасности — ненормально.

 

Комментарии пользователей

Оставьте первый комментарий!

Войти с помощью: 
  Подписаться  
Уведомлять о

ЛЕНТА АКТИВНОСТИ

Андрей Асдор к записи: Биржа криптовалют DigiFinex — подробный обзор, отзывы пользователей

держу на этой бирже деньги,пока особо не торговал,сегодня решил зайти через их м

Сергей Фролов к записи: Куда выгодно вложить деньги в 2019 году

Несмотря на обилие предложенных в статье вариантов (мне больше всего понравились

Айрат Бектемиров к записи: Прогноз Эфириума на 2018 год

Прогноз курса ethereum на июнь-июль 2019

obmanka99 к записи: Лучшие обменники криптовалют онлайн 2019 года

У всех обменников представленных тут одна минус это высокий процент который они

Андрей Минаев к записи: Раздачи криптовалюты в декабре: Pundi X, Substratum и другие

Хорошие сделки!

Ирина Роднянская к записи: Вывод биткоинов с blockchain, как использовать блокчейн кошелек

Из того, что я прочитал, пользуюсь betatransfer, нравится, что у них хорошие кур

Михаил Ильин к записи: В России продолжают блокировать криптовалютные обменники

Прежде были уже попытки заблокировать ресурсы связанные с криптовалютой, в боль

KONKRENNYItip к записи: Lambda [LAMB] выводят свою сеть на глобальный уровень

Хороший проект

KONKRENNYItip к записи: NULS [NULS] готовят релиз второй версии сети

Отличная новость конечно, буду голосовать

Telegram 1
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
*

Личный кабинет

Войти с помощью: 
  Я ознакомлен и согласен с условиями и правилами форума.
  Я ознакомлен и согласен с политикой конфиденциальности.
Генерация пароля