分散型予測市場オーガーの主要な脆弱性を、あるホワイトハッカーが発見した。ユーザーの資金損失に繋がりうるものだったが、このバグはすでにパッチされた。CCNが8日伝えた。

 バグ・バウンティプラットフォームのハッカーワンで、セキュリティリサーチャーのViacheslav Sniezhkov氏が明らかにした。オーガーのこのバグにより、攻撃者はオーガーのユーザーインターフェースに不正データを挿入できる可能性がある。対象となったユーザーの資金の損失にも繋がりうるという。

 オーガーのコア機能(ユーザーは将来の出来事が起こる可能性に賭けられる)は、イーサリアムのブロックチェーンで安全性が保証され、UI設定ファイルはユーザーのローカルコンピューターに保存されていることから、攻撃が可能となると同氏は指摘している。

 この結果、隠れたインフレームとして機能する悪意のあるウェブサイトをハッカーはデプロイし、ユーザーの知らぬまにこの設定ファイルを変更する。このようにして、オーガーのUIは不正データを提供し、ハッカーが管理するアドレスに潜在的に資金を送るよう仕向けることができるという。

 オーガーのバグは、スマートコイントラクトのバグではない。この点は、パリティやThe DAO事件と同様である。しかし、これは脆弱性が深刻でないことを意味しない。

 Sniezhkov氏は以下のように説明する。

「第三者のサイトは、走っているアプリのオーガーノードの構成変数を上書することができる隠されたインフレームを導入しうる。この変数はローカルストレージに存続する。ブラウザページをリロードした時は、通常のオーガーノードのウェブソケットのエンドポイントは、攻撃者の用意したものに取って代わられ、全ての市場データ、アドレス、トランザクションは、ただの見せかけになる可能性がある」

 このSnizhkov氏の指摘を受け、オーガープロトコル開発を監督しているフォーキャスト・ファンデーションは、バグ発見の報奨金として5000ドル(約55万円)を提供した。このバグはすでにパッチされている。

 現在までに、ユーザーの資金がこのバグの悪用により盗まれたという報告は出されていない。しかし、同ファンデーションは、ユーザーに対し、ソフトウェアクライアントの最新版への更新を呼びかけている。

 オーガーのプロトコルの開発者は、オーガーのスマートコントラクトに重大なバグが発見された時に備え、予測市場を閉鎖するための「キル・スイッチ」を管理していた。しかし、メインネットのローンチから2週間で、重大なバグは見つからなかったため、このスイッチは無効化されている。