Исследование: большая часть ICO проектов имеют проблемы с безопасностью

Согласно исследованию, проведенному компанией Positive.com, почти в каждом проекте ICO 2017 года обнаружено по 5 отдельных уязвимостей, которые несут в себе риски как для потенциальных инвесторов, так и организаторов проектов.

По данным компании Positive.com, которая специализируется на борьбе с мошенничеством, 47% всех выявленных уязвимостей ICO средней и высокой степени тяжести.

«Злоумышленникам достаточно одного такого пробела в безопасности, чтобы украсть деньги инвесторов и нанести непоправимый урон корпоративной репутации», - считают в компании.

По разным оценкам, в 2017 году общий объем инвестиций в ICO превысил $5 млрд., причем в первом квартале 2018 года темп сохраняется. В компании сообщают, что из всех проверенных ими ICO проектов только один не имел критических недостатков.

Большая часть проверок указывает на уязвимость в мобильных и веб-приложениях, что может привести к многомиллионным потерям всего за несколько минут.

Positive.com выделили 5 групп основных уязвимостей:

  1. Изъяны, позволяющие атаковать организаторов ICO. Это может быть захват учетной записи электронной почты организатора, использование информации о социальных сетях или получение необходимой информации для обхода двухфакторной аутентификации;
  2. Уязвимости в интеллектуальных контрактах - чаще это заключается в несоблюдении стандарта ERC20 (токен-интерфейс для цифровых кошельков и криптовалютных бирж). Как правило, такая проблема возникает из-за отсутствия знаний программиста и недостаточного тестирования исходного кода;
  3. Уязвимости в веб-приложениях - связаны с безопасностью самого блокчейна и его внутренней реализации (например, с web3.js). Более общие изъяны такие, например, как разглашение конфиденциальной информации веб-сервером, небезопасная передача данных и произвольное чтение файла;
  4. Уязвимости, позволяющие атаковать инвесторов. По информации экспертов Positive.com 23% проверенных проектов, содержат недостатки, которые позволяют атаковать инвесторов;
  5. Уязвимости в мобильных приложениях в 2,5 раза больше чем в веб-приложениях ICO. И тревожно, что уязвимости были обнаружены в 100% мобильных приложений ICO. Наиболее распространенные недостатки - небезопасная передача данных, хранение пользовательских данных в резервных копиях и раскрытие идентификатора сеанса.