WEB:預測平臺「Augur」被曝重大漏洞，黑客可篡改網頁騙取用戶代幣

據Thenextweb消息，去中心化預測市場平臺Augur被曝發現重大漏洞，黑客可據此向用戶發送被篡改的網頁并騙取用戶代幣。幸好該漏洞被漏洞眾測平臺HackerOne的研究人員發現，目前Augur官方已修補了漏洞。這類漏洞被稱為框架劫持，它操縱HTML代碼來控制Augur客戶端如何顯示外部傳來的數據。被框架劫持的用戶將看到被黑客篡改過的頁面信息，包括交易數據、錢包地址和市場行情。由此，用戶將做出錯誤的決策，比如下注時向錯誤的地址轉賬。對于Thenextweb的這一說法，國內安全團隊慢霧區在檢查Augur代碼后提出了更準確的說法。慢霧區表示，這種攻擊依賴一些條件，比如攻擊者需要準備好一個頁面鏈接，并無論通過什么手法能讓安裝了Augur的用戶訪問到，然后用戶需要重啟Augur應用，同時Augur應用里配置的Augur節點地址被替換掉，由此形成后續的攻擊。其本質可以稱為MITM攻擊，即通過攔截正常的網絡通信數據，并進行數據篡改和嗅探，而通信的雙方卻毫不知情。。

《福布斯》發文預測2022年區塊鏈五大趨勢:11月19日消息，福布斯刊文推測了2022年的五大區塊鏈趨勢，包括：1. 綠色區塊鏈倡議，比如碳抵消和轉向POS證明模式等。2. NFT擴展到線上藝術之外。3. 更多國家會采用比特幣或國家加密貨幣（CBDC）。4. 區塊鏈和物聯網集成。5. 區塊鏈用于疫苗制造和追蹤。（福布斯）[2021/11/19 22:03:48]

這類攻擊在互聯網中十分普遍。在區塊鏈中可出現在項目ICO時，黑客通過域名劫持、web漏洞之類的手段來篡改項目官網上的收款地址，此后項目募集到的資金便落到黑客手中。而這次Augur之所以被盯上是因為，其客戶端的用戶界面采用了分布式存儲設計，用戶在本地電腦上存儲了與軟件操作相關的特定文件，導致了用戶界面容易被黑客單點獲取并進行篡改。這個漏洞看起來簡單，但在黑客未進行攻擊時難以被發現；又因涉及的利益重大，因此，Augur給研究員提供這類漏洞平均價格三倍的獎勵。最后，這類網絡層漏洞應如何預防呢？Bcsec安全團隊建議，針對網絡層的安全防御主要從P2P網絡安全、網絡驗證機制兩個方面來提升。如在網絡的傳輸過程中，使用可靠的加密算法進行傳輸，防止攻擊者對節點網絡進行劫持；分布式應用在使用JsonRPC時強制使用https傳輸，而不是HTTP協議進行傳輸；客戶端在進行重要操作前做必要的驗證，以確保信息傳輸的準確性和安全性。

動態 | 火幣研究院對2019年區塊鏈領域做出十大預測:火幣研究院今日發布全球區塊鏈產業全景與趨勢年度報告 （2018-2019年度）。報告對2019年做了十大預測：(1)缺少造富效應，融資項目出清，2019年市場尋底后將寬幅震蕩；(2)ETF不會一帆風順，但個性化衍生品將持續涌現；(3)公鏈改良循序漸進，然性能已非痛點，有效場景才是；(4) 一站式區塊鏈部署或成新寵，跨鏈互通催生區塊鏈落地多樣性；(5)Web 3.0到來，5G和基于IPFS的分布式存儲成重要推動力；(6)礦業金融化變革推動洗牌，改弦更張者上位，抱殘守缺者離場；(7) 傳統應用掀Dapp化浪潮，嶄新流量世界將浮出水面；(8) 資產通證化案例涌現，通證錨定權利逐漸豐富，但規模化仍存障礙；(9)穩定幣從交易轉向應用和支付，基于穩定幣的“PayPal”將會出現；(10) 主流國家監管持續優化，示范效應引多國效仿，牌照、沙盒將普及。[2019/2/15]

地緣學預測專家：區塊鏈技術在一段時候后會“過時”:知名地緣學預測專家George Fridman認為，區塊鏈技術在一段時候后會變得“過時（obsolete）”。在參與CBNC的節目討論時，他表示，我從來沒聽說一種不會被破解的加密技術。事實上，加密社區中有很多人擔心量子計算會破解區塊鏈。[2018/6/17]

Tags：區塊鏈AugurWEB福布斯區塊鏈的五大應用領域augur幣官網WEB3

KuCoin