Hacker de sombrero blanco encuentra gran vulnerabilidad en la Dapp de Ethereum Augur
Dan Morehead, fundador y CEO del fondo de cobertura cripto de 1 billón de dólares, Pantera Capital management, dijo hace tiempo que Augur era su moneda preferida. Augur se volvió muy popular durante la Copa Mundial de la FIFA, pero un hacker de sombrero blanco encontró una vulnerabilidad.
Augur fue una de las primeras ICOs en la plataforma de Ethereum y es una plataforma descentralizada de predicción, donde una persona puede comprar acciones en función de un resultado que este crea que pueda ocurrir. Augur tuvo un comienzo fantástico al ser una de las ICOs más exitosas del momento, recaudando casi $ 5.5 millones en 2015. En aquel entonces, se podría haber apostado inclusive por el asesinato de Donald Trump.
A pesar de la gran popularidad de Augur, la dApp tenia una gran vulnerabilidad. Sin embargo, el error fue encontrado afortunadamente antes de que algo fuera robado, a través de la plataforma de recompensas HackerOne de Viacheslav Sniezhkov, quien escribió lo siguiente:
“Un sitio de terceros podría introducir un iframe oculto logrando así anular la variable de configuración del “nodo-augur”, en una aplicación de augur activa. Esta variable se encuentra en ‘localStorage’(almacenamiento local). En el caso que se actualice la página del navegador (ya sea por una acción del usuario o bloqueo del navegador), el “nodo-augur” seguro seria reemplazado por la terminal del socket de la web del atacante para así captar todos los datos, direcciones y transacciones realizadas.” – Viacheslav Sniezhkov.
El error habría permitido a un atacante inyectar datos fraudulentos en la interfaz de Augur, lo que podría conducir a grandes pérdidas de fondos para los usuarios afectados. El error se logro encontrar porque en la Blockchain descentralizada de Ethereum es donde se asegura la funcionalidad central de Augur. Eso significa que algunos archivos de configuración se almacenan localmente en la computadora de un usuario. Los hackers podrían, por lo tanto, implementar sitios web falsos que tengan funciones ocultas, lo que podría engañar a un usuario para que envíe fondos a una dirección controlada por un hacker.
El hecho es que el error no estaba en el contrato inteligente de Augur, como en el caso de DAO y Parity. Estos hackers de sombrero blanco encuentran errores y ayudan a resolver problemas cruciales de piratería y obtienen recompensas. Al detectar este error, Sniezhkov fue recompensado con $ 5,000 por la Forecast Foundation, la cual supervisa el Protocolo de Augur. Esta vulnerabilidad ha sido tratada desde entonces.
Actualmente, no sabemos si el hack fue exitoso y se robaron fondos, pero la Forecast Foundation recomienda a todos los usuarios actualizar a la última versión del software.
Las blockchains y criptomonedas son un fenómeno relativamente nuevo, y los ataques se producen de vez en cuando. Incluso Twitter encontró miles de vulnerabilidades que permiten piratear las cuentas de los usuarios famosos del mundo cripto, para luego difundir actualizaciones falsas. La tecnología está evolucionando y las plataformas cada día se tornan más seguras.
