Augur被曝重大漏洞，黑客可篡改網頁騙取用戶代幣

據 Thenextweb 消息，去中心化預測市場平台 Augur 被曝發現重大漏洞，黑客可據此向用戶發送被篡改的網頁並騙取用戶代幣。幸好該漏洞被漏洞眾測平台 HackerOne 的研究人員發現，目前 Augur 官方已修補了漏洞。

這類漏洞被稱為框架劫持，它操縱 HTML 代碼來控制 Augur 客戶端如何顯示外部傳來的數據。被框架劫持的用戶將看到被黑客篡改過的頁面信息，包括交易數據、錢包地址和市場行情。由此，用戶將做出錯誤的決策，比如下注時向錯誤的地址轉賬。

對於 Thenextweb 的這一說法，國內安全團隊慢霧區在檢查 Augur 代碼後提出了更準確的說法。

慢霧區表示，這種攻擊依賴一些條件，比如攻擊者需要準備好一個頁面鏈接（不是 Augur 鏈接），並無論通過什麼手法能讓安裝了 Augur 的用戶訪問到，然後用戶需要重啟 Augur 應用，同時 Augur 應用里配置的 Augur 節點地址被替換掉，由此形成後續的攻擊。其本質可以稱為 MITM攻擊，即通過攔截正常的網路通信數據，並進行數據篡改和嗅探，而通信的雙方卻毫不知情。

這類攻擊在互聯網中十分普遍。在區塊鏈中可出現在項目 ICO 時，黑客通過域名劫持、web 漏洞之類的手段來篡改項目官網上的收款地址，此後項目募集到的資金便落到黑客手中。

而這次 Augur 之所以被盯上是因為，其客戶端的用戶界面（UI）採用了分散式存儲設計，用戶在本地電腦上存儲了與軟體操作相關的特定文件，導致了用戶界面容易被黑客單點獲取並進行篡改。

這個漏洞看起來簡單，但在黑客未進行攻擊時難以被發現；又因涉及的利益重大，因此，Augur 給研究員提供這類漏洞平均價格三倍的獎勵。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！