minter-airdrop
Loading data, please wait...

Исследование: На каждое ICO приходится по пять уязвимостей

Компания Positive.com, занимающаяся проверкой мер безопасности при проведении ICO, обнаружила в среднем пять уязвимостей у каждого токенсейла, которые проводились в прошлом году. Только у одного прошлогоднего проекта не нашлось критических недостатков. Большинство проблем специалисты обнаружили в смарт-контрактах:

71% проверенных проектов содержал уязвимости в смарт-контрактах — сердце и душе ICO. Как только ICO запущено, контракт уже не может быть изменён. Он открыт для всех, то есть любой может просмотреть его и найти уязвимости. Их суть — в несоблюдении стандарта токенов ERC20, неправильном генерировании случайных чисел и неправильном определении области видимости. Как правило, все они возникают из-за недостатка знаний программистов и недостаточного тестирования исходного кода.

Исследователи также отмечают, что проблемы с безопасностью были у всех мобильных приложений, выпущенных в 2017 году. Хорошая новость: далеко не все ICO выпустили мобильные приложения, но те, кто это сделал, не вкладывали средства в безопасность. Наиболее распространенные недостатки в мобильных приложениях — использование небезопасных методов передачи данных, хранение пользовательских данных в резервных копиях телефона и раскрытие идентификаторов сессий, которые злоумышленники могли перехватывать и применять против пользователей.

Исследователи обнаружили уязвимости и в веб-приложениях, выпущенных некоторыми организаторами ICO (они давали возможность инвестировать средства и получать токены). Эти уязвимости характерны для всех веб-приложений: включение кода, раскрытие конфиденциальной информации на стороне веб-сервера, небезопасная передача данных. Треть всех уязвимостей ICO связана с веб-приложениями.

Угрозу безопасности токенсейлов представляет и сама инфраструктура. Исследователи утверждают, что организаторы часто не верифицировали аккаунты в соцсетях, а также не регистрировали все версии домена ICO, подвергаясь из-за этого фишинговым атакам и методам социальной инженерии. Организаторы часто обходились без двухфакторной аутентификации для своих аккаунтов, что приводило к взлому официальных сайтов ICO или получению доступа к кошелькам инвесторов.

В одном из предыдущих исследований утверждалось, что 81% последних ICO — мошеннические. Это отчасти объясняет то, почему большинство организаторов не беспокоились о безопасности.

В среднем каждое ICO содержит 5 уязвимостей

 

Похожие статьи