Une faille découverte dans l'application décentralisée Augur

Une faille découverte dans l'application décentralisée Augur

Un hacker white hat (c'est à dire un hacker du bon côté de la barrière) vient de découvrir une faille majeure dans l'application décentralisée des marchés de prédiction Augur, qui est peut-être aujourd'hui la dApps construite sur Ethereum avec le plus de potentiel.


Une faille majeure

La faille, découverte par Viacheslav Sniezhkov, permet à quiconque d'injecter des données frauduleuses au sein de l'interface utilisateur d'Augur, pouvant alors mener très facilement à une perte significative des fonds pour l'utilisateur ciblé.

Alors que les fonctionnalités centrales du fonctionnement d'Augur (un marché de prédiction impossible à censurer qui permet à ses utilisateurs de parier sur la survenue d'un événement) sont développées sur des smarts contracts Ethereum et dont sécurisées par cette blockchain, les fichiers de configuration de l'interface utilisateur sont quant à eux stockés en local sur l'ordinateur de l'utilisateur.

À partir de là, les hackers peuvent créer des sites internet malicieux qui modifient la configuration des paramètres de l'utilisateur depuis les fichiers stockés en local, et enfin afficher de fausses informations sur l'application finale. Dès lors, le hacker peut afficher ce qu'il veut à l'utilisateur, dont notamment une adresse ETH qui lui appartient pour recevoir les fonds.

Si cette faille n'est pas située directement dans les smart contracts existants, elle n'en est pas pour autant moins grave.


Une jolie récompense

Sniezhkov, le hacker à l'origine de sa découverte, explique : "Un site tiers peut lancer de manière invisible un programme caché qui vient effacer la configuration réalisée en local par l'utilisateur. Le hacker pourra alors remplacé toutes les informations affichées dans la dApp par ce qu'il souhaite : information du marché, adresse d'envoi des fonds, information des transactions, etc...".

Pour l'instant, on ne sait pas si cette faille a été exploitée ou non pour réellement récupérer des fonds de manière frauduleuse.

Inscrit dans un programme de bug-bounty, qui incite les hackers white hat à effectuer des tests pour tenir informé l'entreprise de possibles vulnérabilités, Sniezhkova été récompensé d'un joli chèque de 5'000 dollars américain pour la découverte de cette faille, qui depuis a été corrigée.