El mercado de predicciones basado en Blockchain, Augur, está bajo fuego después de que los cazarrecompensas descubrieron una vulnerabilidad de seguridad significativa que podría ser utilizada para obtener millones de dólares.
La plataforma de apuestas descentralizada tiene bajos niveles de seguridad de clientes y de interfaz, lo que permite a los piratas informáticos duplicarla, crear conjuntos de datos falsos y alterar resultados de las predicciones.
Publicado por primera vez en HackerOne, una plataforma de hacking ético mantenida por la comunidad que premia a los usuarios que detectan errores, el pirata informático “droblin” creó un post donde menciona “la aplicación del lado del cliente de la seguridad del servidor” como una debilidad del protocolo de Augur.
El hacker enumeró algunos pasos que permitieron falsificar varios aspectos del protocolo Augur.
Los expertos en seguridad llaman a estos vectores de ataque “hacking de cuadros”, lo que significa que el código HTML subyacente de un protocolo es manipulado para obtener el control del resultado. En este caso, los datos de predicción de Augur.
Un usuario vería el nombre de dominio correcto, pero obtendría los datos falsos que se originan en los servidores del hacker.
Droblin explicó el alcance de dicha vulnerabilidad en su publicación de HackerOne:
“El usuario visita un enlace de Internet; un atacante reemplaza sus datos de la aplicación Augur y luego los datos del mercado, direcciones de Ethereum, todo”.
Para una plataforma como Augur (REP), que depende únicamente de datos correctos y de la información recopilada para funcionar, esta brecha de seguridad es imperdonable.
La pregunta principal surge de cómo se manipulan los datos cuando blockchain es fundamentalmente inmutable, y la respuesta está en la decisión de Augur de almacenar una cierta cantidad de archivos en servidores locales pertenecientes a la compañía. Por lo tanto, aunque la cadena de bloques de Augur está completamente intacta y funciona bien, los hackers han manipulado, o podrían haber manipulado, la interfaz.
Para un proyecto que recaudó US$ 5,5 millones en 2016, tales elecciones de diseño deficientes representan un único punto de falla, especialmente teniendo en cuenta la mayor atención que la industria de la criptomoneda disfruta de los hackers y otros actores semejantes.
Mientras tanto, la investigación de seguridad criticó los comentarios de Augur sobre la publicación HackerOne después de que la compañía clasificara la brecha de seguridad como de “gravedad media”.
El investigador también exploró las posibles consecuencias de dichos errores, después de estar en desacuerdo con la clasificación de severidad de grado medio por parte del equipo de Augur. Droblin dijo:
“Alguien podría encontrarlo y simplemente crear un post en Medium o algún otro lugar, describiendo cómo es de fácil secuestrar los datos de la interfaz de Augur”.
Y agregó:
“Este error estúpido, simple, pequeño y crítico se encontró en el programa de recompensas de errores de Augur, que tiene bonificaciones muy altas por errores esenciales y escasas expectativas de que esos errores realmente se encuentren”.
Mientras que la publicación se ha eliminado y los desarrolladores de Augur han mantenido su clasificación del incidente, a droblin se le pagó US$ 5.000 de recompensa, muy por encima del monto estándar de US$ 1.500 para ese nivel de gravedad.
