Злоумышленникам достаточно всего одной, чтобы присвоить деньги инвесторов. Об этом говорится в отчете «Угрозы информационной безопасности», опубликованной аналитиками Positive Technologies — международной компании, специализирующаяся на разработке ПО в области информационной безопасности.
«По разным оценкам, объем инвестиций, привлеченных с помощью ICO в 2017 году, превысил $5 млрд, — говорится в отчете. — Среди самых прибыльных проектов — EOS ($883,4 млн), Filecoin ($257 млн), Tezos ($232 млн). Но кроме капитала ICO-стартапы также привлекли внимание злоумышленников. При проведении ICO в 2017 году киберпреступники похитили около $300 млн (около 7% всех средств, заработанных в прошлом году во время краудсейлов). Для того, чтобы избежать финансовых потерь во время проведения ICO, необходима тщательная подготовка, особенно с точки зрения кибербезопасности».
В отчете перечислены самые основные причины потери средств блокчейн-стартапами во время проведения краудсейлов. Вот они:
1 Ошибки, допущенные при написании смарт-контрактов (из-за недостаточного знания
принципов безопасной разработки);
2 Ошибки, допущенные при настройке инфраструктуры и развертывании блокчейн-платформ;
3 Модель, не учитывающая актуальные угрозы и реальные методы атак;
4 Отсутствие мониторинга подозрительных транзакций.
А вот список тех самых уязвимостей, которые по мнению аналитиков можно обнаружить в любом блокчейн-стартапе. Самыми распространенными недоработками являются баги в смарт-контрактах и веб-приложениях (по 32%). 19% уязвимостей позволяют провести атаку на организаторов ICO, 12% — на инвесторов, 5% — хакнуть мобильные приложения.
В качестве примеров приводятся хищения личной информации из электронной почты организатора ICO (сперва запрашивали восстановление пароля, а затем происходила его смена). После получения доступа к почте хакеры от имени организаторов извещали инвесторов о смене адреса кошелька. Доступ к почте также позволяет восстанавливать пароли от сервисов зарегистрированы на эту почту. Именно так, говорится в отчете была осуществлена атака на Coindash.io, в результате которой организаторы краудсейла лишились $7 млн.
Уязвимости в смарт-контрактах были выявлены в 71% проектов. Самыми распрастраненными ошибками являются несоответствие стандарту ERC20, некорректная генерация случайных чисел, некорректная верификация отправителя транзакции. Из-за ошибок в смарт-контрактах были похищены средства у инвесторов DAO (июнь 2016 года) и пользователей сервиса Parity.
