Ein White-Hat-Hacker hat eine große Schwachstelle der dezentralen Prognosemarkt-Plattform Augur entdeckt, eins der am meisten verbreiteten dezentralen Anwendung (dApp), die auf dem Ethereum-Netzwerk läuft.
Der Fehler hätte es einem Angreifer ermöglicht, betrügerische Daten in die Benutzeroberfläche von Augur einzuspeisen, was zu einem erheblichen Geldverlust seitens der betroffenen Benutzer hätte führen können. Die Schwachstelle wurde von dem Sicherheitsforscher Viacheslav Sniezhkov über die Bug-Bounty-Plattform HackerOne entdeckt.
Die Kernfunktionalität von Augur ist der unzensierbare Prognosemarkt, der es den Benutzern erlaubt, auf das Ergebnis praktisch jedes Ereignisses zu wetten. Diese Funktionen sind durch die dezentralisierte Ethereum-Blockchain gesichert, die UI-Konfigurationsdateien allerdings, sind lokal auf dem Computer eines Benutzers gespeichert. Das war die Schwachstelle, an dem der Exploit möglich wurde.
Hier könnten Hacker bösartige Websites bereitstellen, die versteckte Iframes beinhalten und, ohne dass es Benutzer mitbekommen, die Konfigurationseinstellungen in den lokalen Dateien so ändern, dass eine Augur-Benutzeroberfläche betrügerische Daten bereitstellt und einen Benutzer dazu verleitet, Gelder an eine von Hackern kontrollierte Adresse zu senden.
Der Fehler bei Augur war also nicht in den Smart Contracts enthalten, wie es bei den Parity- und DAO-Vorfällen der Fall war. Das bedeutet jedoch nicht, dass die Verwundbarkeit nicht gravierend war.
Sniezhkov erklärte dazu:
,,Eine Website eines Drittanbieters kann einen versteckten Iframe enthalten, der die Konfigurationsvariable „augur-node“ einer laufenden Augur-Anwendung überschreiben kann. Diese Variable wird in localStorage persistiert. Bei einem Reload der Browserseite (Benutzeraktion oder Browser/OS-Absturz) wird der normale „augur-node“ Websocket Endpoint durch den vom Angreifer bereitgestellten ersetzt, so dass alle Marktdaten, Adressen und Transaktionen maskiert werden können.“
Nach einem mehrtägigen Sparring mit Snizhkov über die Schwere der Verwundbarkeit (ob es sich nun um einen UI-Bug oder etwas Schwerwiegenderes handelte) mit der Forecast Foundation verlieh diese Sniezhkov schließlich 5.000 Dollar für die Offenlegung des Fehlers. Der Fehler wurde inzwischen gepatcht.
Derzeit gibt es keine Anzeichen dafür, dass der Exploit bis jetzt erfolgreich manipuliert wurde, um Benutzergelder zu stehlen. Die Forecast Foundation hat den Benutzern jedoch empfohlen auf die neueste Version des Software-Clients zu aktualisieren, vor allem da die Schwachstelle nun veröffentlicht wurde.
[Bild: F8 studio, VectorShop /Shutterstock]