Исследование: На каждое ICO приходится по пять уязвимостей

0 Время чтения: 3 мин. Саша Косован

Компания Positive.com, занимающаяся проверкой мер безопасности при проведении ICO, обнаружила в среднем пять уязвимостей у каждого токенсейла, которые проводились в прошлом году. Только у одного прошлогоднего проекта не нашлось критических недостатков. Большинство проблем специалисты обнаружили в смарт-контрактах:

71% проверенных проектов содержал уязвимости в смарт-контрактах — сердце и душе ICO. Как только ICO запущено, контракт уже не может быть изменён. Он открыт для всех, то есть любой может просмотреть его и найти уязвимости. Их суть — в несоблюдении стандарта токенов ERC20, неправильном генерировании случайных чисел и неправильном определении области видимости. Как правило, все они возникают из-за недостатка знаний программистов и недостаточного тестирования исходного кода.

Исследователи также отмечают, что проблемы с безопасностью были у всех мобильных приложений, выпущенных в 2017 году. Хорошая новость: далеко не все ICO выпустили мобильные приложения, но те, кто это сделал, не вкладывали средства в безопасность. Наиболее распространенные недостатки в мобильных приложениях — использование небезопасных методов передачи данных, хранение пользовательских данных в резервных копиях телефона и раскрытие идентификаторов сессий, которые злоумышленники могли перехватывать и применять против пользователей.

Исследователи обнаружили уязвимости и в веб-приложениях, выпущенных некоторыми организаторами ICO (они давали возможность инвестировать средства и получать токены). Эти уязвимости характерны для всех веб-приложений: включение кода, раскрытие конфиденциальной информации на стороне веб-сервера, небезопасная передача данных. Треть всех уязвимостей ICO связана с веб-приложениями.

Угрозу безопасности токенсейлов представляет и сама инфраструктура. Исследователи утверждают, что организаторы часто не верифицировали аккаунты в соцсетях, а также не регистрировали все версии домена ICO, подвергаясь из-за этого фишинговым атакам и методам социальной инженерии. Организаторы часто обходились без двухфакторной аутентификации для своих аккаунтов, что приводило к взлому официальных сайтов ICO или получению доступа к кошелькам инвесторов.

В одном из предыдущих исследований утверждалось, что 81% последних ICO — мошеннические. Это отчасти объясняет то, почему большинство организаторов не беспокоились о безопасности.

В среднем каждое ICO содержит 5 уязвимостей

 

Комментарии (0)

Новости о цифровых валютах, финтех-трендах и финансовых инновациях

CoinSpot.io - крупнейший в рунете ресурс о цифровых валютах, финтех-трендах и финансовых инновациях. Мы рассказываем о технологиях, стартапах и предпринимателях, формирующих облик финансового мира. Венчурные инвестиции, p2p и цифровые технологии, криптовалюты, аналитика и обзоры - все, что нужно знать, чтобы быть в тренде и зарабатывать.

Полное или частичное использование материалов сайта разрешается только с письменного разрешения редакции, при этом ссылка на источник обязательна!

Подпишитесь на Email рассылку о новые статьях и важных новостях от Coinspot.io
Подпишись и будь в курсе самого главного.

Советы экспертов, актуальные комбо, постоянные розыгрыши.

Новостная выжимка в понятном формате. Мы бережем ваше время.