В 2017 году проекты привлекли с помощью ICO более $5 миллиардов, но большинство из них имеет массу уязвимостей, которые могут привести к потере средств инвесторов.
ICO привлекают внимание не только инвесторов, но и мошенников и хакеров. Специалисты Positive Technologies проанализировали ICO-проекты на устойчивость к хакерским атакам и обнаружили, что в среднем в каждом из них содержится по 5 уязвимостей.
В каждом третьем проекте встречаются уязвимости, позволяющие провести атаку на организаторов ICO, украв у него доступ к его электронной почте, либо на смарт-контракты.
Получая доступ к соцсетям организаторов, мошенники могут получить доступ к домену или хостингу, после чего подменить на сайте адрес кошелька для получения денег от инвесторов. Таким образом была осуществлена атака на Coindash, когда были похищены $7 миллионов.
«Примечательно, что информации из социальных сетей зачастую достаточно, чтобы определить логин электронной почты, а затем восстановить от нее пароль, угадав ответы на контрольные вопросы», — говорится в докладе.
В смарт-контрактах наиболее часто были выявлены недостатки, связанные с несоответствием стандарту ERC20, некорректной генерацией случайных чисел и определением области видимости, а также вызванные ошибками в бизнес-логике.
«Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода».
В 23% проектов были выявлены недостатки, позволяющие атаковать инвесторов. Наиболее популярным способом в этой категории являются методы социальной инженерии, то есть с использованием соцсетей и фишинговых ссылок.
Специалисты компании, работающей в сфере кибербезопасности, проанализировали наиболее популярные причины, по которым ICO-проекты теряют деньги вкладчиков, и определили четыре категории:
· ошибки, допущенные при написании смарт-контрактов из-за недостаточного знания программистами принципов безопасной разработки;
· ошибки, допущенные при настройке инфраструктуры, развертывании блокчейн-платформ;
· непродуманная модель угроз, не учитывающая актуальные угрозы и реальные методы атак киберпреступников;
· отсутствие мониторинга подозрительных транзакций.
Подписывайтесь на наш Telegram-канал: новости и аналитика из первых рук!