Компания Positive.com, занимающаяся проверкой мер безопасности при проведении ICO, обнаружила в среднем пять уязвимостей у каждого токенсейла, которые проводились в прошлом году. Только у одного прошлогоднего проекта не нашлось критических недостатков. Большинство проблем специалисты обнаружили в смарт-контрактах:
71% проверенных проектов содержал уязвимости в смарт-контрактах — сердце и душе ICO. Как только ICO запущено, контракт уже не может быть изменён. Он открыт для всех, то есть любой может просмотреть его и найти уязвимости. Их суть — в несоблюдении стандарта токенов ERC20, неправильном генерировании случайных чисел и неправильном определении области видимости. Как правило, все они возникают из-за недостатка знаний программистов и недостаточного тестирования исходного кода.
Исследователи также отмечают, что проблемы с безопасностью были у всех мобильных приложений, выпущенных в 2017 году. Хорошая новость: далеко не все ICO выпустили мобильные приложения, но те, кто это сделал, не вкладывали средства в безопасность. Наиболее распространенные недостатки в мобильных приложениях — использование небезопасных методов передачи данных, хранение пользовательских данных в резервных копиях телефона и раскрытие идентификаторов сессий, которые злоумышленники могли перехватывать и применять против пользователей.
Исследователи обнаружили уязвимости и в веб-приложениях, выпущенных некоторыми организаторами ICO (они давали возможность инвестировать средства и получать токены). Эти уязвимости характерны для всех веб-приложений: включение кода, раскрытие конфиденциальной информации на стороне веб-сервера, небезопасная передача данных. Треть всех уязвимостей ICO связана с веб-приложениями.
Угрозу безопасности токенсейлов представляет и сама инфраструктура. Исследователи утверждают, что организаторы часто не верифицировали аккаунты в соцсетях, а также не регистрировали все версии домена ICO, подвергаясь из-за этого фишинговым атакам и методам социальной инженерии. Организаторы часто обходились без двухфакторной аутентификации для своих аккаунтов, что приводило к взлому официальных сайтов ICO или получению доступа к кошелькам инвесторов.
В одном из предыдущих исследований утверждалось, что 81% последних ICO — мошеннические. Это отчасти объясняет то, почему большинство организаторов не беспокоились о безопасности.