Исследователи нашли в среднем по 5 брешей безопасности в каждом из состоявшихся в прошлом году начальных размещений монет (ICO). Всего одно ICO, проведённое прошлом году, не имело критических уязвимостей. Об этом сообщает Bleeping Computer со ссылкой на данные компании Positive.com, специализирующейся на аудите ICO.
«71% протестированных проектов содержал уязвимости в смарт-контрактах, то есть в главной части ICO», – пишет компания. «После начала ICO контракт нельзя изменить. Он остаётся открытым для всех, а значит, любой желающий может просматривать его и находить уязвимости».
«Обычно к таким уязвимостям относятся несоответствие стандарту ERC20 (интерфейс токена для цифровых кошельков и бирж криптовалют), некорректная генерация случайных чисел и неправильное определение контекста», – утверждают эксперты. «Как правило, подобные уязвимости возникают из-за недостаточной опытности программистов и недостаточного тестирования исходного кода».
Исследователи также отмечают, что все ICO, разрабатывавшие мобильные приложения в 2017 году, оставили в них уязвимости. Хорошая новость заключается в том, что не все из них успели выпустить свои приложения, однако те, кто сделал это, уделили недостаточно внимания вопросу безопасности. По словам представителей компании, им удалось выявить больше уязвимостей в мобильных приложениях ICO, чем в приложениях на их официальных сайтах.
Самыми частыми уязвимостями мобильных приложений стали выбор небезопасного метода передачи данных, хранение пользовательских данных в бэкапе телефона и раскрытие ID сессии, которым может воспользоваться злоумышленник, чтобы нанести ущерб пользователю.
«Эти уязвимости можно использовать для получения информации о проекте, его организаторах и инвесторах. Такую информацию хакер может применить в дальнейших атаках», – пишет Positive.com.
Также исследователи обнаружили бреши безопасности в веб-приложениях ICO, используемых для внесения депозитов и получения токенов. В них были выявлены те же уязвимости, что и в других веб-приложениях: внедрение кода, раскрытие критически важной информации и небезопасная передача данных.
Другие аспекты, в которых эксперты нашли проблемными, были связаны с самими инвесторами и базовой инфраструктурой ICO. Так, организаторы ICO часто не регистрировали аккаунты в социальных сетях для своих проектов и различные версии доменных имён, оставляя возможности для применения социальной инженерии и фишинговых атак.
И наконец, многие из них не активировали двухфакторную аутентификацию для критически важных аккаунтов, тем самым оставляя возможность для взлома официальных сайтов и кошельков, на которых хранились собранные средства.
