Более 70% ICO, прошедших в 2017 году, содержат критические ошибки

CryptoPro

Подавляющее большинство токенов, выпущенных в рамках ICO на протяжении 2017 года, имеют около пяти слабых мест в безопасности. А больше всего уязвимостей содержат смарт-контракты и это очень плохая новость.

Специалисты компании Positive.com, которая специализируется на кибербезопасности ICO проектов, опубликовали доклад, согласно которому, 71% проверенных ими проектов содержали уязвимости в смарт-контрактах - "сердце и душе ICO".

Специалисты отмечают, что после старта ICO, открыт для всех смарт-контракт уже невозможно изменить, и если он содержит уязвимости, то вопрос их обнаружения и использования хакерами лишь дело времени.

В основном главная проблема таких ICO - несоблюдение стандарта ERC20, неправильно генерирование случайных чисел и другие ошибки, которые, как правило, возникают из-за низкого уровня знаний программиста и недостаточного тестирования исходного кода, отмечают эксперты.

Еще одной "находкой" для хакеров стали мобильные приложения, выпущенные ICO-проектами. Они просто кишат уязвимостями - специалисты компании не нашли ни одного приложения, которое бы соответствовало современным требованиям к безопасности.

Наиболее распространенными недостатками в мобильных приложениях является использование небезопасных методов передачи данных, хранение пользовательских данных в резервных копиях телефонов и раскрытие идентификаторов сеансов, которые злоумышленник может перехватить и использовать против пользователя.

«Эти недостатки могут быть полезны при получении информации о проекте, его организаторах и инвесторах, и использования этих данных злоумышленниками для последующих атак», - рассказали представители Positive.

Уязвимы оказались и веб-площадки ICO-проектов. У них те же недостатки, что и в случае с мобильными приложениями - code Injection (процесс внедрения своего кода в память чужого приложения с дальнейшим его выполнением), раскрытие конфиденциальной информации веб-сервером, небезопасная передача данных и произвольное чтение файлов и т.д.

Этот список можно пополнить и самими организаторами ICO-проектов, которые иногда не регистрируют аккаунты в соцсетях - позже вместо них это делают злоумышленники. Не регистрируют домен ICO в нескольких популярных доменных зонах - позже это сделают злоумышленники для фишинг-атак. И всё это хорошо приправлено отсутствием двухфакторной аутентификацией для учетных записей пользователей.

Columb

Да если большинство исо проектов это просто скам, то не мудрено что есть критические ошибки в 70 процентах исо. Я по сути и не сомневался в этом. Хотя статистика не совсем точная все равно.

Wirein

По моему разработчики над безопасностью особо и не думали в 2017, важно было просто собрать средств побыстрее, возможно и сейчас ничего не изменилось, поэтому всегда будет куда расти.

CryptoMax

Непаханное поле работы для товарищей хакеров и простых программистов. Действительно, здесь можно найти работы как представителю темной так и светлой стороны. И неизвестно, кому будет легче.

NewKard

Критическая ошибка большинства ICO проектов в том, что их создатели несерьёзно подходят к проектам. А часть вообще даже не представляет, что кроме сбора денег проект ещё и дальше нужно развивать. А про безопасность в таком случае можно даже и не говорить.

Jerk

Ещё я думаю, что в таких проектах есть ошибки, которые являются лохотроном. То есть эти проекты изначально создаются для того, чтобы собрать у людей деньги и затем кинуть их!

Sonic

Выходит, что кроме основного риска связанного с лохотронами, есть еще и риск угона средств? Ну что тут скажешь, вкладывайте свои деньги в ICO, ребята! ))) А что про 2018 год тогда говорить?

Jerk

@sonic Думаю, что в этом году ИСО не так много собрало, как в 2017. Но до конца года еще есть время, как говорится.
К стати сейчас очень модно кидать людей на токенах, предварительно выпустив их и завысив их стоимость.

Sonic

@jerk Сейчас власти и биржи хотят контролировать все эти проекты, а в некоторых странах даже поумнели и решили запретить проведение подобных проектов. Думаю, что это правильное решение, жаль что не повсеместное.

Varin

Участник @sonic написал в Более 70% ICO, прошедших в 2017 году, содержат критические ошибки:

@jerk Сейчас власти и биржи хотят контролировать все эти проекты, а в некоторых странах даже поумнели и решили запретить проведение подобных проектов. Думаю, что это правильное решение, жаль что не повсеместное.

Просто запрещать все исо вы считаете это правильное решение? Мне кажется это через чур категорично. Так как нужно оценивать разные проекты и возможно какие то из них действительно достойные будут.

Likvid

Столько проектов с критическими ошибками появляются из-за того, что большинство создателей таких проектов гонятся за прибылью, а про безопасность забывают. Даже не хотят элементарно немного подумать, чтобы идею проекта до нормального уровня доработать, не говоря уже о самом проекте.

Gans

Участник @sonic написал в Более 70% ICO, прошедших в 2017 году, содержат критические ошибки:

@jerk Сейчас власти и биржи хотят контролировать все эти проекты, а в некоторых странах даже поумнели и решили запретить проведение подобных проектов. Думаю, что это правильное решение, жаль что не повсеместное.

Когда хорошая идея превращается способ выкачки денег у народа без всякого контроля, тогда действительно лучше вообще такую деятельность запретить. Как вариант, напрячься и организовать грамотный контроль. Только, похоже, это никому не нужно. Да и усилий нужно приложить для контроля слишком много.

Prohor

@varin А почему бы и нет? Как показывает практика, большинство подобных проектов это просто способ отобрать у людей деньги. Если хочешь зарабатывать, то что тебе мешает заняться майнингом или трейдингом, обязательно сразу бежать в ICO?