5 главных уязвимостей ICO: почему риски все еще высоки
ICO стал одним из наиболее популярных способов привлечения средств в период крипто-бума. И в самом деле, краудсэйл с большим успехом получает необходимую сумму, чем в случае, если компания обратилась бы к венчурным капиталистам. Однако, недавно проведенное исследование показало, что на каждое ICO найдется по меньшей мере пять уязвимостей.
Доклад Positive.com показал, что, несмотря на ажиотаж вокруг первичного привлечения монет, этот способ остается достаточно ненадежным, и деньги инвесторов могут оказаться под угрозой. Причем около половины (47%) из найденных уязвимостей имеют среднюю или высокую степень риска.
«В ICO время имеет большое значение, средства нужно собрать в сжатые сроки. В таких случаях заблаговременная защита от атак играет ключевую роль в предотвращении финансовых потерь», — сказал Ли-Энн Галлоуэй, эксперт в области кибербезопасности на Positive.com. — «Цифры свидетельствуют о быстро растущем уровне преступности и мошенничества на криптовалютном рынке. Киберпреступники пользуются возможностями, которые появились с резким ростом интереса к цифровым активам в последнее время».
Далее в исследовании перечислили пять групп уязвимостей, наиболее часто встречающихся в ICO-проектах:
- Уязвимости, позволяющие атаковать организаторов ICO. В каждом третьем проекте были найдены слабые места, позволяющие хакерам получить доступ к данным и сбережениям компаний-организаторов. Так, злоумышленники могут получить доступ к учетной записи электронной почты, похитить данные частных переписок, заполучить пароли и необходимые сведения для обхода двухфакторной аутентификации. После получения контроля над учетной записью, преступники могут сбросить пароль для домена ICO или веб-хоста и заменить адрес кошелька.
- Уязвимость смарт-контракта. Смарт-контракты — наиболее слабое звено в организации ICO. Согласно отчету, такие лазейки содержатся в 71% всех исследованных проектов. Такие уязвимости обычно вызваны отсутствием надлежащего опыта у программиста и недостаточным тестированием исходного кода.
- Уязвимости в веб-приложениях. Некоторые из них связаны с безопасностью блокчейна и бэкэнд-реализацией, другие связаны с проблемами введения кода и защитой персональных данных.
- Уязвимости, позволяющие атаковать инвесторов. Около 23% проектов, рассмотренных в отчете, содержат недостатки, которые ставят под угрозу самих вкладчиков. Например, возможность зарегистрировать домен, схожий с ICO, позволяет создавать фишинговые сайты и т.д.
- Уязвимости в мобильных приложениях. Некоторые команды ICO создают мобильные приложения, чтобы расширить доступ инвесторов к проекту. Тем не менее, 100% изученных мобильных приложений ICO содержали уязвимости. Наиболее распространенными недостатками стали небезопасная передача данных, хранение пользовательских данных в резервных копиях и раскрытие идентификатора сеанса.
В результате Positive.com подвела итог:
«Когда компания заявляет, что планирует запустить ICO, она буквально размахивает флагом, привлекая киберпреступников. Первичные предложения дают понять, что у компании есть деньги, и в то же время проект уязвим, поскольку находится в фазе роста».
По мнению исследователей, команды ICO несут ответственность за то, чтобы их позиция в области безопасности была максимально надежной. Система безопасности должна охватывать в равной степени и смарт-контракт, и веб-приложения, и вести учет нагрузки после начала ICO, чтобы предотвратить фишинговые атаки.