Хакеры выходят на ICO

Введите запрос для поиска

Скрыть поиск

Хакеры выходят на ICO

Самые большие риски блокчейн-проектов, в том числе и при проведении ICO, кроются в механизмах смарт-контрактов, а также в работе веб-приложений. Невнимание к наличию таких ошибок может привести к вмешательству в ICO кибермошенников и многомиллионным потерям.

“Ъ” ознакомился с результатами исследования компании Positive Technologies, в котором проанализированы основные риски при проведении Initial Coin Offering (ICO, первичное размещение токенов для привлечения средств в проекты крипторынка). Эксперты проверили 15 проектов, в частности utrust.io (капитализация $21 млн.), trade.io ($31 млн.) и Blackmoon ($30 млн.). По итогам выяснилось, что наибольшую угрозу безопасности (32% от общего числа) представляют уязвимости внутри смарт-контрактов (цифровых алгоритмов, которые определяют условия обмена активами между сторонами), в веб-приложениях проектов и особенно в их мобильных версиях.

Positive Technologies — российская компания, работающая в области комплексной защиты крупных информационных систем от киберугроз. Образована в 2002 году. Имеет лицензии Министерства обороны и ФСТЭК на деятельность в области создания средств защиты информации.

«Если неправильно определить условия обмена активами, можно лишиться всего»,— подчеркивает директор по безопасности приложений Positive Technologies Денис Баранов. По данным исследования, из-за ошибок в смарт-контрактах чаще всего становятся возможными такие виды кибермошенничества, как frontrunning (позволяет предугадать будущее состояние контракта, и, например, получить прибыль с токенов, когда происходит большая покупка), кражи из-за неверного определения области видимости (например, когда функция, устанавливающая владельца кошелька, доступна для вызова любому пользователю платформы) и взломы из-за неправильной генерации случайных чисел в коде.

Так, ошибка в определении области видимости в июле 2017 года стала причиной кражи около $30 млн. из кошелька Parity, на котором хранились средства множества клиентов, включая несколько крупных ICO. В ноябре из-за критической уязвимости новой версии смарт-контракта оказались заморожены более $285 млн. клиентов Parity.

По мнению авторов исследования, уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Проблема в том, что сама технология только начинает развиваться, считает директор по глобальным коммуникациям Waves Platform Наталья Малева. «Большая часть смарт-контрактов пишется на языке Solidity, которым на должном уровне владеет небольшое число программистов. Стоимость качественных разработчиков высока, что побуждает владельцев проектов с ограниченным бюджетом обращаться к специалистам без опыта»,— подтверждает инвестиционный эксперт BGP Litigation Владимир Русаков. По словам главы аналитического отдела Aurora Blockchain Capital Георгия Эрмана, многие заказчики понятия не имеют, какие уязвимости могут быть в их смарт-контрактах, поэтому не заказывают дополнительный аудит. Традиционно все сообщество выступало в роли аудитора качества кода, это происходит на сервисе GitHub, уточняет господин Русаков. Но по мере популяризации технологии блокчейна число проектов выросло, поэтому рассчитывать на аудит кода не стоит, уверен он.

Также в Positive Technologies обнаружили, что серьезным рискам подвергается большинство веб-приложений проектов, и особенно мобильные приложения для инвесторов. Так, уязвимости были обнаружены в 100% мобильных версий, в целом они содержат в 2,5 раза больше уязвимостей, чем обычные веб-ресурсы. «Среди наиболее распространенных недостатков — небезопасная передача данных, хранение пользовательских данных в резервных копиях, служебная информация, оставленная разработчиками в коде приложения, раскрытие идентификатора сессии»,— отмечают авторы исследования.

Такие ошибки позволяют получить дополнительные сведения о проекте, организаторах и инвесторах и могут быть использованы в ходе дальнейших атак. В случае получения доступа к мобильному телефону жертвы злоумышленник может получить доступ к приложению и выполнять действия от его лица, в том числе вывести средства. Но эти выводы подтверждают далеко не все эксперты. Георгий Эрман полагает, что мобильные приложения, которые используются для привлечения активов и переводов токенов и криптовалюты, «защищаются очень тщательно». Если же приложение используется только для связи с целевой аудиторией, добавляет он, на защите можно и сэкономить.

Мария Сарычева

Источник: Газета "Коммерсантъ" №30 от 19.02.2018
Тэги:

Читайте также

ВТБ вернет кешбэк с прямым начислением рублей вместо бонусов
ВТБ вернет прямое начисление рублей в своей программе лояльности и откажется от использования бонусов
ЦБ поддержал страхование крупных объектов после теракта в «Крокусе»
Почему подобные страховки не пользуются спросом на добровольной основе
Убыток АСВ за 2023 год составил 29,5 миллиарда рублей
Агентству пришлось создать резервы по некоторым активам
Автокредиты на три года уходят в прошлое: как покупают машины сейчас
Сроки автокредитов в российских банках увеличиваются
Банки задумались о создании конкурента платежной системы «Мир»
Крупные банки обсуждают идею создания платежной системы, альтернативной Национальной системе платежных карт (НСПК)
Выручка «Юнионпэй» по РСБУ за 2023 год выросла почти на 30%
Ее рост во многом обусловлен увеличением объема услуг технической поддержки
Пассажиров в аэропортах атакуют лжепредставители банков: чего хотят мошенники
Россиян предупредили о новой схеме мошенничества в аэропортах
Банк России сообщил о новой схеме обмана с налоговыми декларациями
Мошенники придумали новую схему обмана, в которой выдают себя за сотрудников налоговой службы и требуют предоставить декларацию на доходы
Объем денежных средств на балансе АСВ вырос в 60 раз до 1,2 триллиона рублей
Это могут быть средства, заблокированные на счетах типа «С» у недружественных нерезидентов
Рубль подешевел к доллару и евро
Российская валюта в четверг подешевела к доллару и евро