Объем инвестиций, привлеченных с помощью ICO в 2017 году превысил 5 млрд $, однако в коде каждого проекта, в среднем, содержится по 5 уязвимостей, которые могут привести к потере средств инвесторов, подсчитали специалисты Positive Technologies.

Как говорится в отчете компании, из всех проанализированных первичных предложений монет, всего один проект не содержал существенных недостатков.

«Специалисты Positive Technologies выявили множество уязвимостей, из которых 7% были высокого уровня риска, 40% — среднего и 53% — низкого. Однако, когда речь идет об ICO, то любая на первый взгляд незначительная уязвимость может оказаться роковой», — говорится в отчете.

Авторы исследования представили список наиболее часто встречающихся уязвимостей:

– ошибки, допущенные при написании смарт-контрактов из-за недостаточного знания программистами принципов безопасной разработки;
– ошибки, допущенные при настройке инфраструктуры, развертывании блокчейн- платформ;
– непродуманная модель угроз, не учитывающая актуальные угрозы и реальные методы атак киберпреступников;
– отсутствие мониторинга подозрительных транзакций.

В каждом третьем проекте, проводящем фандрайзинговую кампанию, были выявлены уязвимости, позволяющие провести атаку на организаторов ICO, получив доступ к электронной почте, либо смарт-контракту. В случае реализации атаки и получения доступа к электронной почте, злоумышленник может писать письма от имени организаторов (например, об изменении адреса сайта или кошелька для сбора инвестиций), а также восстанавливать пароли от различных сервисов и социальных сетей, которые зарегистрированы на эту почту.

«Примечательно, что информации из социальных сетей зачастую достаточно, чтобы определить логин электронной почты, а затем восстановить от нее пароль, угадав ответы на контрольные вопросы», — считают специалисты .

Наиболее распространенные недостатки смарт-контрактов, по оценке специалистов, связаны с несоответствием стандарту ERC20, некорректной генерацией случайных чисел, а также вызванные ошибками в бизнес-логике.

«Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода», — отмечают специалисты.

Positive Technologies — российская компания, работающая в области комплексной защиты крупных информационных систем от киберугроз, работающая с 2002 года. Имеет лицензии Министерства обороны и ФСТЭК на деятельность в области создания средств защиты информации.

 

 

Добавить комментарий

Ваш адрес email не будет опубликован.