Bug dans la plate-forme de crypto-monnaie Augur a exposé les utilisateurs à de fausses données, des paris de merde

Une vulnérabilité massive a été découverte dans la plateforme de paris décentralisés Augur. Les pirates ont été en mesure de fournir aux utilisateurs des données incorrectes et de jouer au système .

Tout ce que montre l’application était susceptible de tromper, des transactions aux adresses de portefeuille – même les marchés pouvaient être des faux.

Augur endroit merveilleux où vous pouvez placer commandes réseau pour des personnalités telles que le président américain Donald Trump et le patron d'Amazon Jeff Bezos. C'est une plateforme de paris de nouvelle génération qui permet de miser sur quasiment n'importe quoi.

Les utilisateurs achètent des parts dans le résultat d'un événement spécifique, comme un match de sport ou une élection politique. Achetez des actions dans le bon résultat et vous gagnez, les prix étant payés dans Ethereum .

Cette marque d'attaque s'appelle frame-jacking, qui exploite et manipule le code HTML qui contrôle l'affichage des données lorsqu'il est syndiqué. sources externes. Un utilisateur avec un frame-jacked affichera le domaine «correct», mais les données affichées seront incorrectes et trompeuses, canalisées depuis un emplacement différent – pas directement depuis Augur.

Le chercheur en sécurité qui a envoyé le rapport de vulnérabilité à HackerOne décrit ses effets assez simplement:

"L'utilisateur visite un lien depuis Internet, ses données d'application Augur sont remplacées par un attaquant – données de marché, adresses Ethereum, tout."

La crypto-monnaie native d'uGur, REP, est même distribuée pour régler les paris en suspens en confirmant leur résultat. Vraiment, de haut en bas, la plate-forme entière repose sur des informations précises et à jour, les utilisateurs doivent pouvoir faire confiance aux données qu'ils reçoivent.

La conception décentralisée de son back-end est supposée maintenir la confiance. Dans ce cas, cependant, les développeurs ont été laissés pour compte par les développeurs pour stocker certains fichiers liés à son interface utilisateur localement, ce qui les a exposés.

Ces choix de conception engendrent souvent des points de défaillance uniques. Les pirates informatiques pouvaient accéder au code confidentiel tel qu'il était stocké localement, ce qui est généralement évité pour les problèmes de sécurité qu'il soulève.

Le chercheur a également exploré les conséquences possibles de ces bogues classement par l'équipe Augur.

Dans le cas où il est découvert par quelqu'un qui ne participe pas au programme de prime de bogue. Que ferait-il? Eh bien, l'étape logique dans le cas où quelqu'un voulait l'exploiter serait, par exemple, d'envoyer des liens de phishing aux utilisateurs d'Augur … en remplaçant toutes les adresses Ethereum par les siennes, [leading to].

Il suffit de créer un post ou un autre moyen, décrivant comment il est facile de détourner les données de l'interface utilisateur d'Augur.

[…] Ce bogue stupide, simple, petit et critique a été trouvé dans le programme de prime aux bogues d'Augur, celui avec des bonus très élevés pour les bogues critiques et les attentes très faibles quant à la découverte de tels bogues.

maintenu leur position, principalement en raison d'une erreur dans l'interface utilisateur, et non sur la plate-forme sous-jacente. Habituellement, ces types de bogues valent environ 1 500 $ – mais un porte-parole a précisé plus tard que le chercheur avait reçu 5 000 $.

La vulnérabilité a été corrigée afin que les utilisateurs mettent à jour leur client Augur. En réalité, ceci est une preuve de plus que l’écosystème blanc de HackerOne est devenu très lucratif. Les primes de bogues sont payées presque tous les jours – nous avons récemment rapporté un ensemble de primes distribuées à ceux qui trouvaient des anomalies dans le code de crypto-monnaie anonyme Monero.

UTC, 7 août: Un porte-parole de Forecast Foundation, qui a construit et entretient Augur, a depuis lors pris contact. Ils ont précisé qu'en fin de compte, le chercheur en sécurité avait reçu 5 000 dollars, détournant les prix fixés par son programme de primes aux bogues.

«Cela se fait de manière discrétionnaire, déboursement maximal pour les problèmes d'interface utilisateur de 2 500 $. "

Publié le 7 août 2018 – 16:09 UTC