Как швейцарский сыр: каждый проект ICO содержит более пяти «дыр» в безопасности

20.02.2018     
Специалисты из Positive Technologies проанализировали защиту процедуры ICO от киберпреступников, а также безопасность внедрения блокчейн-технологий в российских и зарубежных банках.

По словам экспертов, в каждом проекте первичного размещения токенов есть, как минимум, пять различных уязвимостей, которые позволяют хакерам похитить собранные инвестиции. Среди самых распространенных методов злоумышленников выделяют: атаки на организаторов или инвесторов, а также использование уязвимостей в смарт-контрактах, веб- и мобильных приложениях.

Как сообщается в отчете Positive Technologies, в течение 2017 года с помощью ICO по всему миру было привлечено более 5 млрд долларов от инвесторов, и 7% от этой суммы (около 300 млн долларов) было похищено киберпреступниками.

Роковые ошибки организаторов

В ходе исследования аналитикам из Positive Technologies удалось выяснить, что примерно треть организаторов ICO являются уязвимыми для атаки. Злоумышленники легко могут получить доступ к электронным почтовым ящикам организаторов, используя информацию на официальном сайте проекта. Там зачастую содержатся имена, фамилии и фотографии руководителей.

Используя эту информацию, можно вычислить участников проекта в соцсетях, определить их почтовые логины и подобрать правильные ответы на контрольные вопросы для восстановления паролей от различных сервисов, включая домены и хостинги. Если процедура изменения пароля потребует подтверждение с помощью смс, хакер может просто купить на черном рынке детализацию входящих сообщений абонента. В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Получив доступ к почте, хакер может поменять место хранения собранных средств на собственный электронный кошелек. Таким методом злоумышленникам удалось вывести из Coindash.io около 7 млн долларов – преступники всего лишь изменили адрес Ethereum-кошелька. 

Еще одной ошибкой организаторов ICO часто является то, что они не регистрируют на себя все возможные доменные имена и аккаунты в соцсетях, которые могут ассоциироваться с их проектом. Например, в ходе атаки на криптовалютную биржу  Bittrex хакеры воспользовались невнимательностью пользователей и заставили их ввести свои данные для авторизации не на официальном сайте bittrex.com, а на фишинговом  blttrex.com.

Чего следует опасаться инвесторам

Инвесторы являются не менее уязвимым звеном для киберпреступников. По результатам исследования, их оказалось возможным атаковать в 23% случаев. Чтобы обмануть инвесторов, достаточно создать фейковую страницу в социальных сетях, название которой будет совпадать или иметь сходство с названием проекта ICO. На фальшивой странице злоумышленники могут размещать информацию о проекте, содержащую ссылки на фишинговые сайты. 

Бреши в смарт-контрактах

Согласно результатам исследования Positive Technologies, 71% всех проанализированных ICO имеет баги в смарт-контрактах. На них приходится 32% всех выявленных уязвимостей. Как правило, такие «дыры» возникают вследствие недостаточной квалификации программистов или слишком поверхностного тестирования исходного кода. 

К характерным ошибкам относится – несоответствие стандарту интерфейса токена ERC20, некорректная генерация случайных чисел, неправильное определение области видимости, некорректная верификация отправителя транзакции, а также целочисленное переполнение и ошибки в бизнес-логике.

С помощью уязвимости в смарт-контрактах в июне 2016 года были украдены средства у проекта The DAO. «Дыра» возникла из-за ошибки разработчиков в описании одной из функций. Кроме того, от подобной атаки пострадал проект Parity. Летом 2017 года хакеры нанесли проекту ущерб в размере 30 млн долларов, а в ноябре того же года заморозили на его счетах еще 285 млн долларов. 

Уязвимость в приложениях

Еще 28% всех уязвимостей при проведении ICO приходится на веб-приложения. Однако по сравнению с мобильными приложениями этот показатель не так уж и плох – там уязвимым является каждое первое приложение из всех проанализированных, а общее количество брешей выше в 2,5 раза.

Директор по безопасности приложений в Positive Technologies Денис Баранов отметил, что уязвимости зачастую присутствуют в механизме интеграции блокчейна с другими компонентами приложения. Например, часто встречается некорректная настройка механизма безопасности CORS, который позволяет веб-приложению контактировать с блокчейном. 

Еще одной опасностью является некорректное внедрение блокчейна в серверную часть веб-приложения, например, с помощью web3.js.

Также эксперт акцентировал внимание на том, что большинство приложений ICO не застрахованы от уязвимостей, характерных для приложений в целом – инъекций кода, раскрытия конфиденциальной информации веб-сервером, небезопасной передачи данных, чтения произвольных файлов и т.д. Например, зарегистрировавшись у того же хостинг-провайдера, что и веб-приложения ICO, злоумышленники могут использовать уязвимость для чтения произвольных файлов на сервере, а затем взять приложение под контроль. 

В исследовании отмечается, что распространенными недостатками мобильных приложений, как правило, являются небезопасная передача данных, хранение пользовательских данных в резервных копиях, а также наличие в коде приложения служебной информации и раскрытие идентификатора сессии.



Автор:
Яна Казьмина Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Ziggurat 50 21.02.18 09:31 Сейчас в теме
Где купить
В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Или автор новости нам соврал.
sasha777666; +1 Ответить
2. sasha777666 310 21.02.18 09:46 Сейчас в теме
(1) и со мной ссылочкой поделитесь
3. for_sale 849 21.02.18 11:04 Сейчас в теме
(1)
мне, если честно, больше интересно, как детализация звонков или СМС за прошлый месяц поможет мне получить доступ к аккаунту. Или за те пару минут, что код из СМС действует, детализация успевает уйти на чёрный рынок и быть купленной?
4. palsergeich 21.02.18 11:59 Сейчас в теме
(3) Восстановить симку один из вариантов - рассказать оператору 3-5 последних вызванных номеров.
Распространенная схема мошенничества, на банки ру и в новостях достаточно часто всплывает.
А то и вообще так https://www.m24.ru/articles/krazhi/23092015/85582
5. Ziggurat 50 21.02.18 14:43 Сейчас в теме
(4)
Восстановить симку один из вариантов - рассказать оператору 3-5 последних вызванных номеров.

А как же паспорт?
Оставьте свое сообщение

См. также

Microsoft присоединилась к Open Infrastructure Foundation для развития облаков

Новость ИТ-новость Новости компаний Облачные технологии

Microsoft стала платиновым членом организации Open Infrastructure Foundation. Компания будет представлять интересы своих телекоммуникационных клиентов в OpenStack.

вчера в 17:15    2001    VKuser24342747    0       

Microsoft разрешит устанавливать Windows 11 на старые компьютеры

Новость Windows ИТ-новость Новости компаний

Microsoft пересмотрела правила установки Windows 11, которые не позволяли использовать ОС на компьютерах, не соответствующих системным требованиям. Для инсталляции придется создать загрузочный диск.

14.09.2021    1873    VKuser24342747    0       

Оплата лицом заработает на всех станциях метро Москвы

Новость Искусственный интеллект ИТ-новость Цифровая экономика

В столичном метрополитене внедряют систему FacePay. С 15 октября оплатить проезд можно будет, не доставая смартфон, карту или жетоны из кармана.

14.09.2021    1515    user1015646    2       

«Яндекс» представил технологию автоматического перевода любых видео на русский язык

Новость ИТ-новость Яндекс

«Яндекс» сделал функцию автоматического закадрового перевода иностранных роликов доступной для почти любых видео в интернете. Функция встроена в фирменный браузер компании.

13.09.2021    1814    VKuser24342747    4       

Исследователи синтезировали выразительную устную речь

Новость Искусственный интеллект ИТ-новость

Синтетическое воспроизведение речи от голосовых помощников и автопереводчиков не передает эмоций и интонаций. Специалисты NVIDIA разработали систему искусственного интеллекта, которая решает эту проблему: ее речь сложно отличить от естественной.

10.09.2021    6123    user1015646    0       

GitHub выпустил веб-редактор кода: возможности, о которых вы могли не знать

Новость GitHub Автоматизация Интернет ИТ-новость

Начинающим программистам часто сложно настроить среду разработки и установить весь необходимый софт. Для них, а также для специалистов, которые работают в распределенных командах, GitHub запустил новый сервис github.dev.

10.09.2021    3458    user1015646    0       

Раскрыта дата релиза Windows 11

Новость Windows ИТ-новость Новости компаний

Microsoft официально объявила, когда станет доступна новая версия самой популярной десктопной ОС. Обновиться с Windows 10 до Windows 11 можно будет уже 5 октября 2021 года.

09.09.2021    5874    user1015646    0       

В Google научились увеличивать изображения в 16 раз с восстановлением деталей

Новость Искусственный интеллект ИТ-новость

Раньше увеличить видео с камер наблюдения в десятки раз получалось только у героев фильмов. Но теперь такая возможность существует и в реальной жизни – инженеры Google разработали прорывную технологию масштабирования изображений.

09.09.2021    3141    user1015646    3       

Эксперты подготовили рекомендации по использованию кириллицы в доменах и почте

Новость Интернет ИТ-новость

Рабочая группа представила стандарты внедрения, обработки, хранения, валидации и адаптации кириллических символов для программ, поддерживающих доменные имена и email-адреса.

07.09.2021    2571    VKuser24342747    0       

Госструктуры перейдут на российские системы видеоконференций

Новость Импортозамещение ИТ-новость Облачные технологии

Российских чиновников переводят на использование отечественного сервиса видеоконференций. Будут внедрять систему TrueConf на базе ОС Astra Linux и процессоров Baikal-M от «Байкал Электроникс».

03.09.2021    2965    user1015646    0       

Минэкономики раскритиковало требования к обновлению оборудования для суверенного Рунета

Новость Импортозамещение Интернет ИТ-новость Телекоммуникации

Минэкономики пришло к выводу, что требования Минцифры затормозят развитие связи в России. По мнению специалистов ведомства, возможным последствием может стать ухудшение интернет-услуг провайдеров.

03.09.2021    2335    VKuser24342747    0       

Разработчики назвали любимые языки программирования

Новость ИТ-новость Языки программирования

Крупнейший форум для разработчиков Stack Overflow составил рейтинг любимых языков программирования. Первую строчку списка занял молодой, но перспективный Rust.

02.09.2021    4922    user1015646    3       

Петербургские ученые обучили нейросеть находить вредоносных ботов в соцсетях

Новость Безопасность Искусственный интеллект ИТ-новость Соцсети

Сотрудники Санкт-Петербургского федерального исследовательского центра Российской академии наук (СПб ФИЦ РАН) создали решение для поиска ботов, размещающих спам и дезинформацию на любом языке.

02.09.2021    2020    VKuser24342747    1       

Windows Server исключается из эксперимента по поставке обновлений Microsoft WaaS

Новость Windows ИТ-новость Новости компаний Облачные технологии

По результатам четырехлетнего эксперимента Windows as a Service Microsoft решила, что больше не будет обновлять Windows Server несколько раз в год. Для серверной ОС было решено вернуться к практике обновления каждые 2-3 года.

01.09.2021    4243    SKravchenko    0       

Microsoft добавила в Power BI инструменты аналитики для Angular-приложений

Новость Аналитика ИТ-новость

Microsoft представила новый компонент для создания веб-сервисов аналитики данных. Он позволит интегрировать функции Power BI в Angular-приложения.

31.08.2021    3033    user1015646    0       

Windows 11 лишится нескольких функций предыдущей версии системы

Новость Windows ИТ-новость

Microsoft в бета-версии Windows 11 изменила привычные функции. Из ОС исчезло отображение секунд на часах и возможность быстро добавлять события в календарь, а кнопка «Пуск» переместилась в центр панели задач.

31.08.2021    4697    VKuser24342747    6       

GitHub в версии утилиты CLI 2.0 добавил поддержку расширений

Новость GitHub ИТ-новость Новости компаний

Разработчики GitHub представили вторую версию утилиты для управления проектами при помощи командной строки CLI. Приложение поддерживает несколько стандартных расширений и создание собственных.

27.08.2021    5737    VKuser24342747    0       

Круглая дата: ядру Linux исполнилось 30 лет

Новость Linux ИТ-новость Новости компаний

Ядро Linux отмечает юбилей. О создании новой ОС 21-летний Линус Торвальдс объявил 25 августа 1991 года.

27.08.2021    4366    user1015646    2       

Искусственный интеллект научился распознавать изображения лучше человека

Новость Искусственный интеллект ИТ-новость

Алгоритм компьютерного зрения впервые превзошел человека. В экспериментах людям и системе искусственного интеллекта предлагали определить, что изображено на фото, и ответить на вопросы. Результат ИИ оказался выше, чем у человека.

26.08.2021    2983    user1015646    5       

Facebook представил криптобиблиотеку для разработчиков – Winterfell

Новость ИТ-новость Новости компаний

Специалисты Facebook выпустили новую библиотеку Winterfell. Проект с открытым исходным кодом может генерировать доказательство вычислительной целостности STARK.

24.08.2021    4283    user1015646    3       

В GitHub добавлена поддержка цитирования из репозиториев

Новость GitHub ИТ-новость

GitHub позволил использовать файл CITATION.cff, в котором можно указать, как правильно ссылаться на содержимое репозитория при написании академических публикаций.

24.08.2021    4672    VKuser24342747    0       

GitHub официально представил новую версию «Обсуждений»

Новость GitHub ИТ-новость

GitHub заявил о завершении бета-тестирования обновленной версии раздела Discussions. Релизный вариант площадки для обсуждений репозиториев разрабатывался почти год при активном участии сообщества.

23.08.2021    3093    VKuser24342747    0       

Разработчик создал браузерную версию OpenAI Codex для управления веб-страницами

Новость Интернет Искусственный интеллект ИТ-новость

Программист Эндрю Кантино рассказал, что сделал расширение для модификации страниц в Google Chrome, работающее на основе ИИ-ассистента для разработки OpenAI Codex.

23.08.2021    5164    VKuser24342747    0       

Российский разработчик создал эмулятор для запуска приложений iOS на M1 Mac

Новость Mac OS ИТ-новость Мобильные приложения

Программа PlayCover позволяет запускать на компьютерах с операционной системой MacOS любые мобильные приложения для iOS, в том числе игры с поддержкой мыши и клавиатуры.

20.08.2021    5491    VKuser24342747    0       

Вместо директора Nvidia на презентации выступил его цифровой клон

Новость Искусственный интеллект ИТ-новость Новости компаний

Во время презентации Nvidia выступила точная цифровая копия генерального директора компании Дженсена Хуанга. Виртуальный аватар предпринимателя создан при помощи ИИ-технологий.

20.08.2021    3424    VKuser24342747    1