ICO

Аналитики: каждое ICO содержит, в среднем, 5 уязвимостей.

Объем инвестиций, привлеченных с помощью ICO в 2017 году превысил 5 млрд $, однако в коде каждого проекта, в среднем, содержится по 5 уязвимостей, которые могут привести к потере средств инвесторов, подсчитали специалисты Positive Technologies.

Как говорится в отчете компании, из всех проанализированных первичных предложений монет, всего один проект не содержал существенных недостатков.

«Специалисты Positive Technologies выявили множество уязвимостей, из которых 7% были высокого уровня риска, 40% — среднего и 53% — низкого. Однако, когда речь идет об ICO, то любая на первый взгляд незначительная уязвимость может оказаться роковой», — говорится в отчете.

Авторы исследования представили список наиболее часто встречающихся уязвимостей:

• ошибки, допущенные при написании смарт-контрактов из-за недостаточного знания программистами принципов безопасной разработки;
• ошибки, допущенные при настройке инфраструктуры, развертывании блокчейн- платформ;
• непродуманная модель угроз, не учитывающая актуальные угрозы и реальные методы атак киберпреступников;
• отсутствие мониторинга подозрительных транзакций.

В каждом третьем проекте, проводящем фандрайзинговую кампанию, были выявлены уязвимости, позволяющие провести атаку на организаторов ICO, получив доступ к электронной почте, либо смарт-контракту. В случае реализации атаки и получения доступа к электронной почте, злоумышленник может писать письма от имени организаторов (например, об изменении адреса сайта или кошелька для сбора инвестиций), а также восстанавливать пароли от различных сервисов и социальных сетей, которые зарегистрированы на эту почту.

«Примечательно, что информации из социальных сетей зачастую достаточно, чтобы определить логин электронной почты, а затем восстановить от нее пароль, угадав ответы на контрольные вопросы», — считают специалисты .

Наиболее распространенные недостатки смарт-контрактов, по оценке специалистов, связаны с несоответствием стандарту ERC20, некорректной генерацией случайных чисел, а также вызванные ошибками в бизнес-логике.

«Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода», — отмечают специалисты.

Positive Technologies — российская компания, работающая в области комплексной защиты крупных информационных систем от киберугроз, работающая с 2002 года. Имеет лицензии Министерства обороны и ФСТЭК на деятельность в области создания средств защиты информации.