Подавляющее большинство токенов, выпущенных в рамках ICO на протяжении 2017 года, имеют около пяти слабых мест в безопасности. А больше всего уязвимостей содержат смарт-контракты и это очень плохая новость.
Специалисты компании Positive.com, которая специализируется на кибербезопасности ICO проектов, опубликовали доклад, согласно которому, 71% проверенных ими проектов содержали уязвимости в смарт-контрактах - "сердце и душе ICO".
Специалисты отмечают, что после старта ICO, открыт для всех смарт-контракт уже невозможно изменить, и если он содержит уязвимости, то вопрос их обнаружения и использования хакерами лишь дело времени.
В основном главная проблема таких ICO - несоблюдение стандарта ERC20, неправильно генерирование случайных чисел и другие ошибки, которые, как правило, возникают из-за низкого уровня знаний программиста и недостаточного тестирования исходного кода, отмечают эксперты.
Еще одной "находкой" для хакеров стали мобильные приложения, выпущенные ICO-проектами. Они просто кишат уязвимостями - специалисты компании не нашли ни одного приложения, которое бы соответствовало современным требованиям к безопасности.
Наиболее распространенными недостатками в мобильных приложениях является использование небезопасных методов передачи данных, хранение пользовательских данных в резервных копиях телефонов и раскрытие идентификаторов сеансов, которые злоумышленник может перехватить и использовать против пользователя.
«Эти недостатки могут быть полезны при получении информации о проекте, его организаторах и инвесторах, и использования этих данных злоумышленниками для последующих атак», - рассказали представители Positive.
Уязвимы оказались и веб-площадки ICO-проектов. У них те же недостатки, что и в случае с мобильными приложениями - code Injection (процесс внедрения своего кода в память чужого приложения с дальнейшим его выполнением), раскрытие конфиденциальной информации веб-сервером, небезопасная передача данных и произвольное чтение файлов и т.д.
Этот список можно пополнить и самими организаторами ICO-проектов, которые иногда не регистрируют аккаунты в соцсетях - позже вместо них это делают злоумышленники. Не регистрируют домен ICO в нескольких популярных доменных зонах - позже это сделают злоумышленники для фишинг-атак. И всё это хорошо приправлено отсутствием двухфакторной аутентификацией для учетных записей пользователей.
Подписывайся на канал Crypto.Pro в Telegram - всегда свежие новости и обзор рынка