Caçador de recompensas descobre grave vulnerabilidade dentro do Augur

Um hacker white hat descobriu uma grave vulnerabilidade no mercado de previsão descentralizado, Augur, talvez o dApp mais elogiado já construído na rede Ethereum.

Leia mais: Órgão eleitoral da Ucrânia testa votação em blockchain NEM

O bug, revelado através da plataforma de recompensa HackerOne, foi descoberto pelo pesquisador de segurança Viacheslav Sniezhkov, e ele permite que um invasor injete dados fraudulentos na interface de usuário da Augur, potencialmente levando a uma perda significativa de fundos por parte dos usuários afetados.

Essa vulnerabilidade se tornou possível porque, embora a principal funcionalidade da Augur — um mercado de previsão sem censura que permite aos usuários apostarem no resultado de virtualmente qualquer evento — seja assegurada pelo blockchain Ethereum, os arquivos de configuração de UI são armazenados localmente no computador do usuário.

Consequentemente, hackers podem lançar sites maliciosos que servem como iframes escondidos e, sem o conhecimento do usuário, modificam os padrões de configuração armazenados nestes arquivos locais, de forma que um UI da Augur serviria dados fraudulentos, potencialmente enganando um usuário para enviar fundos para endereços controlados por hackers.

Reiterando, o bug não é nos smart contracts da Augur, como foi o caso nos incidentes da Parity e DAO. Contudo, isto não quer dizer que a vulnerabilidade não é séria.

Leia mais: Estudo mostra que mercado de ICOs dobrou desde 2017, além de captar mais investimentos institucionais

augur guide

Conforme Sniezhkov explicou:

“Um site de terceiros pode incluir um iframe escondido, que pode sobrepor um nó de configuração de uma aplicação Augur sendo executada. Esta variável existe no localStorage. Caso a página do navegador recarregue (por meio de ação do usuário ou colapso do navegador), os websockets do endpoint do nó normal da Augur serão substituídos pelos nós fornecidos pelo invasor, de forma que todos os dados endereços e transações dos mercados serão mascarados.”

Após debater com Snizhkov durante vários dias sobre a severidade da vulnerabilidade (notadamente se ela constituía um bug de UI ou algo mais sério), a Forecast Foundation, que supervisiona o desenvolvimento do protocolo Augur, finalmente premiou Sniezhkov com US$5 mil por descobrir o bug, que já foi corrigido.

Atualmente, não há indicação de que a vulnerabilidade foi manipulada para roubar fundos de usuários. Contudo, a Forecast Foundation aconselhou seus usuários a atualizarem seu software para a versão mais recente, tendo em vista que agora a vulnerabilidade se tornou pública.

Os desenvolvedores do protocolo originalmente controlavam um “interruptor”, que poderia ser utilizado para desligar a plataforma caso um bug crítico fosse descoberto nos smart contracts da Augur nas duas semanas após o lançamento do dApp. Quando nenhum bug foi descoberto, eles efetivamente destruíram o interruptor, transferindo sua posse para um “endereço de queima”.

Leia mais: Esperança, hype e heresia: blockchain e os recursos energéticos

Fonte: CCN