Rambler's Top100
 
Все новости Новости отрасли

Каждый проект ICO содержит в среднем 5 уязвимостей

20 февраля 2018

Эксперты изучили проблемы информационной безопасности при проведении ICO и внедрении блокчейна в финансовых организациях. В среднем, каждый такой проект содержит пять различных уязвимостей. Потенциальными целями злоумышленников могут стать сами организаторы ICO и инвесторы, а также смарт-контракты, веб-приложения и мобильные приложения.

Как говорится в отчете, подготовленом Positive Technologies, в каждом третьем проанализированном проекте были обнаружены недостатки, позволяющие атаковать непосредственно организаторов ICO. Пример — атака с целью получения доступа к электронной почте для восстановления паролей от домена, хостинга и других используемых проектом сервисов. В случае успешной реализации возможна подмена адреса кошелька для сбора средств. Предположительно, так была осуществлена атака на Coindash.io, в ходе которой хакеры похитили $7 млн.

В ходе ICO остро стоит и проблема защищенности инвесторов. В 23% случаев были выявлены недостатки, позволяющие атаковать их. Пример подобной ошибки — многие проекты не регистрируют на себя на всякий случай все возможные доменные имена и аккаунты в соцсетях. В результате злоумышленники могут легко ввести в заблуждение инвесторов: зарегистрировать аккаунт в соцсети с таким же или с очень похожим названием и разместить там свою информацию и ссылки на поддельные фишинговые сайты.

Помимо этого, треть всех уязвимостей были обнаружены в смарт-контрактах. Такие ошибки присутствуют в 71% всех проанализированных проектов. Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Это может приводить к серьезным финансовым потерям, как произошло в случае проектов The DAO и Parity.

Более четверти (28%) всех выявленных недостатков ICO были связаны с веб-приложениями проектов. А ситуация с защищенностью мобильных приложений куда хуже: уязвимости были найдены в 100% проанализированных приложений. В среднем, они содержат в 2,5 раза больше уязвимостей, чем веб-приложения тех же проектов.

«Ряд уязвимостей связан с безопасностью механизма интеграции блокчейна с прочими компонентами приложения. Например, часто неправильно настраивают механизм безопасности CORS, — комментирует Денис Баранов, директор по безопасности приложений компании Positive Technologies. — Некоторые уязвимости ICO свойственны всем веб-приложениям вне зависимости от сферы их использования: это инъекции, раскрытие чувствительной информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и другие. Процедура ICO краткосрочна, и крайне важно предусмотреть векторы атак до ее начала, иначе высок риск финансовых потерь».

Источник: Positive Technologies

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.