Как швейцарский сыр: каждый проект ICO содержит более пяти «дыр» в безопасности

20.02.2018      10075
Специалисты из Positive Technologies проанализировали защиту процедуры ICO от киберпреступников, а также безопасность внедрения блокчейн-технологий в российских и зарубежных банках.

По словам экспертов, в каждом проекте первичного размещения токенов есть, как минимум, пять различных уязвимостей, которые позволяют хакерам похитить собранные инвестиции. Среди самых распространенных методов злоумышленников выделяют: атаки на организаторов или инвесторов, а также использование уязвимостей в смарт-контрактах, веб- и мобильных приложениях.

Как сообщается в отчете Positive Technologies, в течение 2017 года с помощью ICO по всему миру было привлечено более 5 млрд долларов от инвесторов, и 7% от этой суммы (около 300 млн долларов) было похищено киберпреступниками.

Роковые ошибки организаторов

В ходе исследования аналитикам из Positive Technologies удалось выяснить, что примерно треть организаторов ICO являются уязвимыми для атаки. Злоумышленники легко могут получить доступ к электронным почтовым ящикам организаторов, используя информацию на официальном сайте проекта. Там зачастую содержатся имена, фамилии и фотографии руководителей.

Используя эту информацию, можно вычислить участников проекта в соцсетях, определить их почтовые логины и подобрать правильные ответы на контрольные вопросы для восстановления паролей от различных сервисов, включая домены и хостинги. Если процедура изменения пароля потребует подтверждение с помощью смс, хакер может просто купить на черном рынке детализацию входящих сообщений абонента. В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Получив доступ к почте, хакер может поменять место хранения собранных средств на собственный электронный кошелек. Таким методом злоумышленникам удалось вывести из Coindash.io около 7 млн долларов – преступники всего лишь изменили адрес Ethereum-кошелька. 

Еще одной ошибкой организаторов ICO часто является то, что они не регистрируют на себя все возможные доменные имена и аккаунты в соцсетях, которые могут ассоциироваться с их проектом. Например, в ходе атаки на криптовалютную биржу  Bittrex хакеры воспользовались невнимательностью пользователей и заставили их ввести свои данные для авторизации не на официальном сайте bittrex.com, а на фишинговом  blttrex.com.

Чего следует опасаться инвесторам

Инвесторы являются не менее уязвимым звеном для киберпреступников. По результатам исследования, их оказалось возможным атаковать в 23% случаев. Чтобы обмануть инвесторов, достаточно создать фейковую страницу в социальных сетях, название которой будет совпадать или иметь сходство с названием проекта ICO. На фальшивой странице злоумышленники могут размещать информацию о проекте, содержащую ссылки на фишинговые сайты. 

Бреши в смарт-контрактах

Согласно результатам исследования Positive Technologies, 71% всех проанализированных ICO имеет баги в смарт-контрактах. На них приходится 32% всех выявленных уязвимостей. Как правило, такие «дыры» возникают вследствие недостаточной квалификации программистов или слишком поверхностного тестирования исходного кода. 

К характерным ошибкам относится – несоответствие стандарту интерфейса токена ERC20, некорректная генерация случайных чисел, неправильное определение области видимости, некорректная верификация отправителя транзакции, а также целочисленное переполнение и ошибки в бизнес-логике.

С помощью уязвимости в смарт-контрактах в июне 2016 года были украдены средства у проекта The DAO. «Дыра» возникла из-за ошибки разработчиков в описании одной из функций. Кроме того, от подобной атаки пострадал проект Parity. Летом 2017 года хакеры нанесли проекту ущерб в размере 30 млн долларов, а в ноябре того же года заморозили на его счетах еще 285 млн долларов. 

Уязвимость в приложениях

Еще 28% всех уязвимостей при проведении ICO приходится на веб-приложения. Однако по сравнению с мобильными приложениями этот показатель не так уж и плох – там уязвимым является каждое первое приложение из всех проанализированных, а общее количество брешей выше в 2,5 раза.

Директор по безопасности приложений в Positive Technologies Денис Баранов отметил, что уязвимости зачастую присутствуют в механизме интеграции блокчейна с другими компонентами приложения. Например, часто встречается некорректная настройка механизма безопасности CORS, который позволяет веб-приложению контактировать с блокчейном. 

Еще одной опасностью является некорректное внедрение блокчейна в серверную часть веб-приложения, например, с помощью web3.js.

Также эксперт акцентировал внимание на том, что большинство приложений ICO не застрахованы от уязвимостей, характерных для приложений в целом – инъекций кода, раскрытия конфиденциальной информации веб-сервером, небезопасной передачи данных, чтения произвольных файлов и т.д. Например, зарегистрировавшись у того же хостинг-провайдера, что и веб-приложения ICO, злоумышленники могут использовать уязвимость для чтения произвольных файлов на сервере, а затем взять приложение под контроль. 

В исследовании отмечается, что распространенными недостатками мобильных приложений, как правило, являются небезопасная передача данных, хранение пользовательских данных в резервных копиях, а также наличие в коде приложения служебной информации и раскрытие идентификатора сессии.



Автор:
Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Ziggurat 50 21.02.18 09:31 Сейчас в теме
Где купить
В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Или автор новости нам соврал.
sasha777666; +1 Ответить
2. sasha777666 321 21.02.18 09:46 Сейчас в теме
(1) и со мной ссылочкой поделитесь
3. for_sale 971 21.02.18 11:04 Сейчас в теме
(1)
мне, если честно, больше интересно, как детализация звонков или СМС за прошлый месяц поможет мне получить доступ к аккаунту. Или за те пару минут, что код из СМС действует, детализация успевает уйти на чёрный рынок и быть купленной?
4. palsergeich 21.02.18 11:59 Сейчас в теме
(3) Восстановить симку один из вариантов - рассказать оператору 3-5 последних вызванных номеров.
Распространенная схема мошенничества, на банки ру и в новостях достаточно часто всплывает.
А то и вообще так https://www.m24.ru/articles/krazhi/23092015/85582
5. Ziggurat 50 21.02.18 14:43 Сейчас в теме
(4)
Восстановить симку один из вариантов - рассказать оператору 3-5 последних вызванных номеров.

А как же паспорт?
Оставьте свое сообщение

См. также

В программу подготовки спортивных программистов вошли бег и скорость печати

Новость ИТ-Новость

Пятничное: в России вступил в силу стандарт подготовки по дисциплине «спортивное программирование». В стандарт вошли требования к физическим показателям спортсменов и скорости набора текста.

16.02.2024    642    VKuser24342747    2       

1

Росстандарт утвердил протокол LoRaWAN для интернета вещей

Новость ИТ-Новость

Федеральное агентство по техническому регулированию и метрологии (Росстандарт) утвердило национальный стандарт протокола LoRaWAN RU, таким образом он получил официальный статус. Технология используется для беспроводной передачи данных между устройствами интернета вещей.

19.01.2024    424    VKuser24342747    0       

2

Новый закон откладывает на год вступление в силу изменений в порядок регистрации на сайтах

Новость Законодательство ИТ-Новость

12 декабря вступил в силу Федеральный закон, меняющий срок, к которому все владельцы сайтов должны внести изменения в порядок авторизации пользователей на сайте. Закон вводит переходный период до 1 января 2025 года.

20.12.2023    606    VKuser24342747    2       

1

Вышло крупное обновление для Android Studio

Новость Мобильные приложения ИТ-Новость

Новая версия Android Studio под номером 2023.1 получила имя Hedgehog. Появились возможности контролировать производительность приложений и управлять подключенными устройствами.

07.12.2023    719    VKuser24342747    2       

3

GitHub опубликовал результаты ежегодного исследования проектов с открытым исходным кодом

Новость GitHub ИТ-Новость

GitHub собрал данные об Open Source проектах в рамках ежегодного исследования Octoverse. Компания изучила географию репозиториев, используемые языки программирования и нейросети, а также активность сообщества.

15.11.2023    486    VKuser24342747    1       

2

Некоммерческие проекты смогут получить бесплатный доступ к GigaChat API

Новость ИТ-компания ИТ-Новость

Компания «Сбер» заявила, что будет бесплатно предоставлять доступ к API нейросети для генерации текста GigaChat для некоммерческих проектов. Однако для них будет ограничено число доступных токенов.

01.11.2023    602    VKuser24342747    2       

3

Состоялся релиз свободной среды разработки Geany 2.0

Новость ИТ-Новость Программист

Вышла новая версия Geany 2.0. Обновление затронуло внешний вид программы, расширило поддержку файлов и сторонних проектов, добавило новые способы работы с кодом.

25.10.2023    691    VKuser24342747    0       

1

Минцифры подготовило критерии по выбору оператора реестра провайдеров хостинга

Новость Минцифры ИТ-Новость Роскомнадзор

Минцифры подготовило проект постановления, которое утверждает требования к организации, претендующей на статус оператора реестра провайдеров хостинга.

25.10.2023    356    VKuser24342747    0       

1

Минцифры составило алгоритм действий для компаний, у которых не работает VPN

Новость Минцифры ИТ-Новость

Минцифры подготовило разъяснения для российских организаций, у которых возникли перебои в работе VPN-сервисов для клиентов и сотрудников из-за блокировки запрещенных ресурсов Роскомнадзором.

24.10.2023    611    VKuser24342747    0       

0

«Сбер» объявила о доступности SberLinux OS Server для российских компаний

Новость Импортозамещение ИТ-Новость

«СберТех», дочерняя компания «Сбера», объявила о предоставлении доступа к собственной серверной операционной системе SberLinux OS Server российским компаниям. ОС включена в реестр отечественного ПО.

20.10.2023    829    VKuser24342747    0       

2

Минцифры внесло изменения в проект правил идентификации клиентов веб-хостингов

Новость Минцифры ИТ-Новость Роскомнадзор

Минцифры подготовило изменения в пакет документов, которые устанавливают новые требования для провайдеров хостинга. Ведомство расширило перечень допустимых методов идентификации клиентов.

18.10.2023    456    VKuser24342747    0       

1

Google выпустила финальную версию Android 14

Новость Android Google ИТ-Новость

Google выпустила новую версию мобильной ОС Android 14. Изменения затронули настройки внешнего вида и безопасности. Были расширены возможности камеры и инструментов для хранения данных.

12.10.2023    672    VKuser24342747    0       

1

Яндекс объявил об открытии исходного кода DataLens

Новость Аналитика ИТ-Новость Яндекс

BI-система Yandex DataLens теперь развивается в опенсорс. Код продукта выложен для всех на GitHub. Любой желающий сможет развернуть DataLens на своем железе и доработать его под свои сценарии применения.

03.10.2023    1369    ЕленаЧерепнева    1       

6

Роскомнадзор создаст реестр хостинг-провайдеров

Новость Минцифры ИТ-Новость Роскомнадзор

Минцифры подготовило несколько проектов постановлений, которые утверждают правила ведения реестра поставщиков хостинг-услуг, а также новые требования к провайдерам.

02.10.2023    561    VKuser24342747    0       

1

«СберТех» представил репозиторий GitVerse с ИИ-помощником для написания кода

Новость Импортозамещение ИТ-Новость Программист

«СберТех» начал прием заявок на тестирование веб-сервиса для публикации ИТ-проектов GitVerse. Платформа подходит для разработки программ с открытым и закрытым кодом.

26.09.2023    765    VKuser24342747    2       

1

ИП и юрлица смогут использовать смартфон для создания и замены электронной подписи

Новость ИТ-Новость ФНС Цифровая подпись

ФНС внесла изменения в правила оформления электронной подписи руководителя организации и ИП. Станет возможным продлевать ее и записывать при помощи мобильного устройства.

18.09.2023    415    VKuser24342747    1       

1

Журнал IEEE Spectrum опубликовал рейтинг популярности языков программирования

Новость ИТ-Новость Языки программирования

Журнал Института инженеров электротехники и электроники IEEE Spectrum подготовил рейтинг самых популярных языков программирования в 2023 году. Статистика разделена на три категории.

01.09.2023    1261    VKuser24342747    4       

2

В бета-версии Microsoft 365 появилась поддержка языка Python для Excel

Новость ИТ-Новость Языки программирования

С помощью библиотек и средств визуализации Python можно будет манипулировать данными Excel, а затем использовать полученные результаты в формулах, диаграммах и сводных таблицах.

28.08.2023    642    VKuser24342747    0       

2

Специалисты Калифорнийского университета установили, что боты справляются с CAPTCHA лучше, чем люди

Новость ИТ-Новость

Международная группа исследователей изучила эффективность тестов CAPTCHA. Ученые пришли к выводу, что технология больше мешает людям, потому что боты научились с ней справляться.

24.08.2023    1141    VKuser24342747    23       

2

Google Chrome начнет поддерживать квантово-устойчивые алгоритмы шифрования

Новость Google Безопасность ИТ-Новость

В версии Google Chrome 116 появится поддержка алгоритмов шифрования, устойчивых к попыткам дешифрации при помощи квантовых вычислений. Технология объединяет преимущества классической и инновационной криптографии.

24.08.2023    466    VKuser24342747    0       

1

В реестр российского ПО включен первый комплекс обработки больших данных

Новость Импортозамещение Минцифры ИТ-Новость Реестр ПО

Минцифры внесло в реестр отечественного ПО программно-аппаратный комплекс «Скала-Р», предназначенный для обработки больших данных. Это первый комплекс с таким функционалом, включенный в перечень.

22.08.2023    452    VKuser24342747    0       

1

Microsoft внедрила новые функции в GitHub Copilot и анонсировала Windows Copilot

Новость GitHub Искусственный интеллект

ИИ-помощник для разработчиков GitHub Copilot теперь не только в реальном времени анализирует код, предлагает варианты для его улучшения и помогает найти решение проблем в разработке, но и  показывает ссылки на репозитории, из которых взят код. 

17.08.2023    1137    VKuser24342747    0       

1

В JetBrains разработали ИИ-помощника для аналитиков данных

Новость Аналитика Искусственный интеллект

JetBrains представила нейросеть Ask AI для онлайн-блокнота Datalore. Виртуальный ассистент способен генерировать код на нескольких языках, предлагать доработки и упрощать процесс аналитики данных. 

16.08.2023    649    VKuser24342747    0       

1

Исследование: ChatGPT дает неправильный ответ на половину вопросов о программировании

Новость Искусственный интеллект ИТ-Новость

Чат-бот OpenAI ошибается в 52% случаев, когда отвечает на вопросы по программированию. Однако делает это так убедительно, что пользователи не замечают ошибки. 

14.08.2023    987    VKuser24342747    5       

3

Минцифры проведет эксперимент по цифровизации «жизненного цикла» госслужащего

Новость Минцифры ИТ-Новость

Минцифры подготовило постановление о проведении эксперимента по внедрению ИТ в управление «жизненным циклом» госслужащего. Ведомство намерено автоматизировать все этапы работы сотрудников госструктур.

04.08.2023    547    VKuser24342747    0       

2