當前位置:
首頁 > 科技 > Augur被曝重大漏洞,黑客可篡改網頁騙取用戶代幣

Augur被曝重大漏洞,黑客可篡改網頁騙取用戶代幣

據 Thenextweb 消息,去中心化預測市場平台 Augur 被曝發現重大漏洞,黑客可據此向用戶發送被篡改的網頁並騙取用戶代幣。幸好該漏洞被漏洞眾測平台 HackerOne 的研究人員發現,目前 Augur 官方已修補了漏洞。

這類漏洞被稱為框架劫持,它操縱 HTML 代碼來控制 Augur 客戶端如何顯示外部傳來的數據。被框架劫持的用戶將看到被黑客篡改過的頁面信息,包括交易數據、錢包地址和市場行情。由此,用戶將做出錯誤的決策,比如下注時向錯誤的地址轉賬。

對於 Thenextweb 的這一說法,國內安全團隊慢霧區在檢查 Augur 代碼後提出了更準確的說法。

慢霧區表示,這種攻擊依賴一些條件,比如攻擊者需要準備好一個頁面鏈接(不是 Augur 鏈接),並無論通過什麼手法能讓安裝了 Augur 的用戶訪問到,然後用戶需要重啟 Augur 應用,同時 Augur 應用里配置的 Augur 節點地址被替換掉,由此形成後續的攻擊。其本質可以稱為 MITM攻擊,即通過攔截正常的網路通信數據,並進行數據篡改和嗅探,而通信的雙方卻毫不知情。

這類攻擊在互聯網中十分普遍。在區塊鏈中可出現在項目 ICO 時,黑客通過域名劫持、web 漏洞之類的手段來篡改項目官網上的收款地址,此後項目募集到的資金便落到黑客手中。

而這次 Augur 之所以被盯上是因為,其客戶端的用戶界面(UI)採用了分散式存儲設計,用戶在本地電腦上存儲了與軟體操作相關的特定文件,導致了用戶界面容易被黑客單點獲取並進行篡改。

這個漏洞看起來簡單,但在黑客未進行攻擊時難以被發現;又因涉及的利益重大,因此,Augur 給研究員提供這類漏洞平均價格三倍的獎勵。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 科技無處不在 的精彩文章:

特技替身拜拜,迪士尼機器超人要上天
順豐發布了可隱匿收寄雙方信息的「隱址件」

TAG:科技無處不在 |