Подавляющее большинство токенов, выпущенных в рамках ICO на протяжении 2017 года, имеют около пяти слабых мест в безопасности. А больше всего уязвимостей содержат смарт-контракты и это очень плохая новость.
Специалисты компании Positive.com, которая специализируется на кибербезопасности ICO проектов, опубликовали доклад, согласно которому, 71% проверенных ими проектов содержали уязвимости в смарт-контрактах — «сердце и душе ICO».
Специалисты отмечают, что после старта ICO, открыт для всех смарт-контракт уже невозможно изменить, и если он содержит уязвимости, то вопрос их обнаружения и использования хакерами лишь дело времени.
В основном главная проблема таких ICO — несоблюдение стандарта ERC20, неправильно генерирование случайных чисел и другие ошибки, которые, как правило, возникают из-за низкого уровня знаний программиста и недостаточного тестирования исходного кода, отмечают эксперты.
Еще одной «находкой» для хакеров стали мобильные приложения, выпущенные ICO-проектами. Они просто кишат уязвимостями — специалисты компании не нашли ни одного приложения, которое бы соответствовало современным требованиям к безопасности.
Наиболее распространенными недостатками в мобильных приложениях является использование небезопасных методов передачи данных, хранение пользовательских данных в резервных копиях телефонов и раскрытие идентификаторов сеансов, которые злоумышленник может перехватить и использовать против пользователя.
«Эти недостатки могут быть полезны при получении информации о проекте, его организаторах и инвесторах, и использования этих данных злоумышленниками для последующих атак», — рассказали представители Positive.
Уязвимы оказались и веб-площадки ICO-проектов. У них те же недостатки, что и в случае с мобильными приложениями — code Injection (процесс внедрения своего кода в память чужого приложения с дальнейшим его выполнением), раскрытие конфиденциальной информации веб-сервером, небезопасная передача данных и произвольное чтение файлов и т.д.
Этот список можно пополнить и самими организаторами ICO-проектов, которые иногда не регистрируют аккаунты в соцсетях — позже вместо них это делают злоумышленники. Не регистрируют домен ICO в нескольких популярных доменных зонах — позже это сделают злоумышленники для фишинг-атак. И всё это хорошо приправлено отсутствием двухфакторной аутентификацией для учетных записей пользователей.
Подписывайся на канал Crypto.Pro в Telegram — всегда свежие новости и обзор рынка