Nền tảng dự đoán "Augur" đã bị lộ các lỗ hổng lớn, tin tặc có thể giả mạo trang web để lừa đảo người dùng mã thông báo

Theo Thenextwebthông tinthông tin

, nền tảng thị trường dự đoán phi tập trung Augur được tiết lộ là đã tìm thấy một lỗ hổng lớn, tin tặc có thể sử dụng lỗ hổng này để gửi các trang web giả mạo tới người dùng và lừa đảo người dùng mã thông báo. May mắn thay, lỗ hổng đã được phát hiện bởi các nhà nghiên cứu từ nền tảng kiểm tra lỗ hổng HackerOne và Augur đã chính thức vá lỗ hổng này.

Loại lỗ hổng này được gọi là đánh cắp khung và nó thao túng mã HTML để kiểm soát cách ứng dụng khách Augur hiển thị dữ liệu từ một nguồn bên ngoài, chẳng hạn như máy chủ. Người dùng bị tấn công bởi khuôn khổ sẽ thấy thông tin trên trang bị tin tặc giả mạo, bao gồm dữ liệu giao dịch, địa chỉ ví và điều kiện thị trường. Do đó, người dùng sẽ đưa ra những quyết định sai lầm, chẳng hạn như chuyển tiền đến sai địa chỉ (hacker) khi đặt cược.

Về tuyên bố của Thenextweb, đội bảo mật nội địa Slow Mist District đã đưa ra tuyên bố chính xác hơn sau khi kiểm tra mã Augur.

Kiểu tấn công này rất phổ biến trên Internet. Trong chuỗi khối, khi một dự án ICO xảy ra, tin tặc sử dụng các phương pháp như chiếm quyền điều khiển tên miền và lỗ hổng web để giả mạo địa chỉ nhận trên trang web chính thức của dự án, sau đó số tiền huy động được từ dự án sẽ rơi vào tay tin tặc.

VàVàthời gian này, giao diện người dùng (UI) của ứng dụng khách áp dụng thiết kế lưu trữ phân tán và người dùng lưu trữ các tệp cụ thể liên quan đến hoạt động của phần mềm trên máy tính cục bộ của họ, điều này khiến giao diện người dùng dễ dàng bị tin tặc lấy và can thiệp tại một thời điểm.

chữ

cuối cùng,Nhóm bảo mật BcsecNhóm bảo mật BcsecNhóm bảo mật Bcsecgợi ý,Khả năng bảo vệ an ninh cho lớp mạng chủ yếu được cải thiện từ hai khía cạnh: bảo mật mạng P2P và cơ chế xác minh mạng