Блокчейн, финтех, новая экономика, блэкджек

positive-technologies

Код любого выходящего на ICO сервиса содержит в среднем пять уязвимостей

Новости

Злоумышленникам достаточно всего одной, чтобы присвоить деньги инвесторов. Об этом говорится в отчете «Угрозы информационной безопасности», опубликованной аналитиками Positive Technologies — международной компании, специализирующаяся на разработке ПО в области информационной безопасности.

«По разным оценкам, объем инвестиций, привлеченных с помощью ICO в 2017 году, превысил $5 млрд, — говорится в отчете. — Среди самых прибыльных проектов — EOS ($883,4 млн), Filecoin ($257 млн), Tezos ($232 млн). Но кроме капитала ICO-стартапы также привлекли внимание злоумышленников. При проведении ICO в 2017 году киберпреступники похитили около $300 млн (около 7% всех средств, заработанных в прошлом году во время краудсейлов). Для того, чтобы избежать финансовых потерь во время проведения ICO, необходима тщательная подготовка, особенно с точки зрения кибербезопасности».

В отчете перечислены самые основные причины потери средств блокчейн-стартапами во время проведения краудсейлов. Вот они:

1 Ошибки, допущенные при написании смарт-контрактов (из-за недостаточного знания
принципов безопасной разработки);

2 Ошибки, допущенные при настройке инфраструктуры и развертывании блокчейн-платформ;
3 Модель, не учитывающая актуальные угрозы и реальные методы атак;
4 Отсутствие мониторинга подозрительных транзакций.

А вот список тех самых уязвимостей, которые по мнению аналитиков можно обнаружить в любом блокчейн-стартапе. Самыми распространенными недоработками являются баги в смарт-контрактах и веб-приложениях (по 32%). 19% уязвимостей позволяют провести атаку на организаторов ICO, 12% — на инвесторов, 5% — хакнуть мобильные приложения.

В качестве примеров приводятся хищения личной информации из электронной почты организатора ICO (сперва запрашивали восстановление пароля, а затем происходила его смена). После получения доступа к почте хакеры от имени организаторов извещали инвесторов о смене адреса кошелька. Доступ к почте также позволяет восстанавливать пароли от сервисов зарегистрированы на эту почту. Именно так, говорится в отчете была осуществлена атака на Coindash.io, в результате которой организаторы краудсейла лишились $7 млн.

Уязвимости в смарт-контрактах были выявлены в 71% проектов. Самыми распрастраненными ошибками являются несоответствие стандарту ERC20, некорректная генерация случайных чисел, некорректная верификация отправителя транзакции. Из-за ошибок в смарт-контрактах были похищены средства у инвесторов DAO (июнь 2016 года) и пользователей сервиса Parity.

* * *
Мы в Telegram и Facebook.

Понравилась статья?

Подпишись на e-mail рассылку и будь всегда в курсе последних событий
BTC
12845.4313.04%
ETH
345.7111.14%
XRP
0.495.96%
BCH
508.717.6%
Ту зе МУН