Как швейцарский сыр: каждый проект ICO содержит более пяти «дыр» в безопасности

20.02.2018      9668
Специалисты из Positive Technologies проанализировали защиту процедуры ICO от киберпреступников, а также безопасность внедрения блокчейн-технологий в российских и зарубежных банках.

По словам экспертов, в каждом проекте первичного размещения токенов есть, как минимум, пять различных уязвимостей, которые позволяют хакерам похитить собранные инвестиции. Среди самых распространенных методов злоумышленников выделяют: атаки на организаторов или инвесторов, а также использование уязвимостей в смарт-контрактах, веб- и мобильных приложениях.

Как сообщается в отчете Positive Technologies, в течение 2017 года с помощью ICO по всему миру было привлечено более 5 млрд долларов от инвесторов, и 7% от этой суммы (около 300 млн долларов) было похищено киберпреступниками.

Роковые ошибки организаторов

В ходе исследования аналитикам из Positive Technologies удалось выяснить, что примерно треть организаторов ICO являются уязвимыми для атаки. Злоумышленники легко могут получить доступ к электронным почтовым ящикам организаторов, используя информацию на официальном сайте проекта. Там зачастую содержатся имена, фамилии и фотографии руководителей.

Используя эту информацию, можно вычислить участников проекта в соцсетях, определить их почтовые логины и подобрать правильные ответы на контрольные вопросы для восстановления паролей от различных сервисов, включая домены и хостинги. Если процедура изменения пароля потребует подтверждение с помощью смс, хакер может просто купить на черном рынке детализацию входящих сообщений абонента. В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Получив доступ к почте, хакер может поменять место хранения собранных средств на собственный электронный кошелек. Таким методом злоумышленникам удалось вывести из Coindash.io около 7 млн долларов – преступники всего лишь изменили адрес Ethereum-кошелька. 

Еще одной ошибкой организаторов ICO часто является то, что они не регистрируют на себя все возможные доменные имена и аккаунты в соцсетях, которые могут ассоциироваться с их проектом. Например, в ходе атаки на криптовалютную биржу  Bittrex хакеры воспользовались невнимательностью пользователей и заставили их ввести свои данные для авторизации не на официальном сайте bittrex.com, а на фишинговом  blttrex.com.

Чего следует опасаться инвесторам

Инвесторы являются не менее уязвимым звеном для киберпреступников. По результатам исследования, их оказалось возможным атаковать в 23% случаев. Чтобы обмануть инвесторов, достаточно создать фейковую страницу в социальных сетях, название которой будет совпадать или иметь сходство с названием проекта ICO. На фальшивой странице злоумышленники могут размещать информацию о проекте, содержащую ссылки на фишинговые сайты. 

Бреши в смарт-контрактах

Согласно результатам исследования Positive Technologies, 71% всех проанализированных ICO имеет баги в смарт-контрактах. На них приходится 32% всех выявленных уязвимостей. Как правило, такие «дыры» возникают вследствие недостаточной квалификации программистов или слишком поверхностного тестирования исходного кода. 

К характерным ошибкам относится – несоответствие стандарту интерфейса токена ERC20, некорректная генерация случайных чисел, неправильное определение области видимости, некорректная верификация отправителя транзакции, а также целочисленное переполнение и ошибки в бизнес-логике.

С помощью уязвимости в смарт-контрактах в июне 2016 года были украдены средства у проекта The DAO. «Дыра» возникла из-за ошибки разработчиков в описании одной из функций. Кроме того, от подобной атаки пострадал проект Parity. Летом 2017 года хакеры нанесли проекту ущерб в размере 30 млн долларов, а в ноябре того же года заморозили на его счетах еще 285 млн долларов. 

Уязвимость в приложениях

Еще 28% всех уязвимостей при проведении ICO приходится на веб-приложения. Однако по сравнению с мобильными приложениями этот показатель не так уж и плох – там уязвимым является каждое первое приложение из всех проанализированных, а общее количество брешей выше в 2,5 раза.

Директор по безопасности приложений в Positive Technologies Денис Баранов отметил, что уязвимости зачастую присутствуют в механизме интеграции блокчейна с другими компонентами приложения. Например, часто встречается некорректная настройка механизма безопасности CORS, который позволяет веб-приложению контактировать с блокчейном. 

Еще одной опасностью является некорректное внедрение блокчейна в серверную часть веб-приложения, например, с помощью web3.js.

Также эксперт акцентировал внимание на том, что большинство приложений ICO не застрахованы от уязвимостей, характерных для приложений в целом – инъекций кода, раскрытия конфиденциальной информации веб-сервером, небезопасной передачи данных, чтения произвольных файлов и т.д. Например, зарегистрировавшись у того же хостинг-провайдера, что и веб-приложения ICO, злоумышленники могут использовать уязвимость для чтения произвольных файлов на сервере, а затем взять приложение под контроль. 

В исследовании отмечается, что распространенными недостатками мобильных приложений, как правило, являются небезопасная передача данных, хранение пользовательских данных в резервных копиях, а также наличие в коде приложения служебной информации и раскрытие идентификатора сессии.



Автор:
Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. Ziggurat 50 21.02.18 09:31 Сейчас в теме
Где купить
В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Или автор новости нам соврал.
sasha777666; +1 Ответить
2. sasha777666 317 21.02.18 09:46 Сейчас в теме
(1) и со мной ссылочкой поделитесь
3. for_sale 929 21.02.18 11:04 Сейчас в теме
(1)
мне, если честно, больше интересно, как детализация звонков или СМС за прошлый месяц поможет мне получить доступ к аккаунту. Или за те пару минут, что код из СМС действует, детализация успевает уйти на чёрный рынок и быть купленной?
4. palsergeich 21.02.18 11:59 Сейчас в теме
(3) Восстановить симку один из вариантов - рассказать оператору 3-5 последних вызванных номеров.
Распространенная схема мошенничества, на банки ру и в новостях достаточно часто всплывает.
А то и вообще так https://www.m24.ru/articles/krazhi/23092015/85582
5. Ziggurat 50 21.02.18 14:43 Сейчас в теме
(4)
Восстановить симку один из вариантов - рассказать оператору 3-5 последних вызванных номеров.

А как же паспорт?
Оставьте свое сообщение

См. также

GitHub опубликовал статистику по языкам и проектам за 2022 год

Новость ИТ-новость Языки программирования Разработка

В статистическом отчете репозитория названы самые популярные языки программирования среди пользователей платформы, а также данные об активности аудитории сервиса.

01.12.2022    1290    VKuser24342747    11       

Инспекторы смогут проводить дистанционные проверки через смартфон

Новость ИТ-новость Мобильные приложения

Минэкономразвития представило мобильное приложение, которое позволит осуществлять надзорные мероприятия бизнеса без посещения офиса. Программа работает через Госуслуги.

28.11.2022    1211    VKuser24342747    0       

«Яндекс» представил бесплатный сервис для быстрого поиска в облаке

Новость ИТ-новость Облачные технологии

Сервис Managed Service for OpenSearch от платформы Yandex Cloud предназначен для оптимизации поисковых систем и проверки стабильности и безопасности работы приложений. Услуга доступа в режиме Public Preview.

24.11.2022    1477    VKuser24342747    1       

В декабре начнут действовать новые правила регистрации доменов .RU и .РФ

Новость ИТ-новость Роскомнадзор

С 12 декабря Роскомнадзор получит право прекращать делегирование домена, если он оформлен нелегально, или на сайте содержится запрещенная в России информация.

23.11.2022    1215    VKuser24342747    1       

Stack Overflow запустил проект для оффлайн-доступа к форуму

Новость ИТ-новость Разработка

Проект под названием Overflow Offline позволяет скачать актуальную версию архива вопросов и ответов по разработке ПО. По объему данных база форума уступает только «Википедии».

02.11.2022    1181    VKuser24342747    1       

Минцифры запустило магазин российского ПО из реестра ИТ-решений

Новость Импортозамещение ИТ-новость

Маркетплейс «Руссофт» стал доступен для всех пользователей. С его помощью можно подобрать программы от отечественных разработчиков для решения корпоративных задач бизнеса.

21.10.2022    1654    VKuser24342747    4       

В ноябре начнется создание российского государственного аналога GitHub

Новость ИТ-новость

Правительство озвучило дату запуска эксперимента по разработке отечественного репозитория ПО. Исходники программ, в том числе разработанных для госорганов, будут публиковаться в нем под открытой лицензией.

19.10.2022    2401    VKuser24342747    14       

OpenAI опубликовала код системы распознавания речи Whisper

Новость Искусственный интеллект ИТ-новость

OpenAI открыла исходный код эталонной реализации на базе фреймворка PyTorch и набор уже обученных моделей для использования под лицензией MIT. Нейросеть используется для перевода речи в текст.

28.09.2022    2699    VKuser24342747    0       

Вторая версия среды разработки для плат Arduino вышла из бета-теста

Новость ИТ-новость Микроэлектроника

Arduino IDE 2.0 получила стабильную версию, в которой появилась поддержка автодополнения кода и темная тема. Разработка заняла несколько лет. Программа распространяется бесплатно.

23.09.2022    2678    VKuser24342747    0       

Основатель движения свободного ПО выпустил руководство по языку C

Новость Linux ИТ-новость Языки программирования

Ричард Мэттью Столлман, основатель Фонда свободного программного обеспечения, представил руководство по языку C и расширениям GNU. Пособие доступно всем желающим и предназначено как для опытных, так и начинающих программистов.

19.09.2022    2267    VKuser24342747    0       

«Ростелеком» предложил создать национальную экосистему на базе «Авроры»

Новость Импортозамещение ИТ-новость Мобильные приложения

Провайдер считает, что государственная мобильная экосистема поможет обеспечить технологическую независимость и экономический подъем страны. А ОС «Аврора» наиболее перспективная разработка для достижения этих целей.

15.09.2022    2169    VKuser24342747    5       

Яндекс выложил в открытый доступ инструмент для разработки мобильных приложений

Новость ИТ-новость Мобильные приложения Яндекс

Фреймворк DivKit от Яндекса стал доступен как open source решение. Инструмент позволяет менять интерфейс приложений без скачивания обновлений и значительно ускоряет мобильную разработку.

02.09.2022    1878    VKuser24342747    0       

Группа компаний «Астра» представила собственную мобильную ОС

Новость Linux ИТ-новость Мобильные приложения

Доработанная ОС Astra Linux Special Edition может быть запущена на большом числе мобильных устройств, в том числе на планшетах и смартфонах с процессорами на архитектурах ARM, «Эльбрус» и x86-64.

25.08.2022    1515    VKuser24342747    1       

В России разработаны меры для решения проблемы нехватки ИТ-специалистов

Новость ИТ-новость

Вице-премьер Дмитрий Чернышенко сообщил, что сейчас экономике страны не хватает 1 млн ИТ-специалистов. Способы преодоления дефицита закреплены в программе нацпроекта «Цифровая экономика»

05.08.2022    1665    VKuser24342747    11       

Яндекс открыл доступ к фреймворку для создания приложений с микросервисной архитектурой

Новость GitHub ИТ-новость Яндекс

Инструмент Userver опубликован как бесплатное open source решение. Яндекс уже несколько лет эффективно его использует в своих приложениях Go, «Еда», «Лавка», «Доставка» и другие. Фреймворк находится в стадии бета – переезда на открытую разработку.

02.08.2022    2524    VKuser24342747    19       

Бизнес сможет использовать повышающий коэффициент для расходов на покупку ПО

Новость ИТ-новость

Принят закон, который позволяет компаниям учитывать расходы на отечественные программы и радиоэлектронное оборудование с коэффициентом 1,5. Решения должны быть включены в соответствующие реестры и относиться к ИИ.

26.07.2022    2281    VKuser24342747    0       

Минэкономразвития тестирует миграцию с Windows 10 на Astra Linux

Новость ИТ-новость

Министерство проводит эксперимент, в ходе которого сотрудники используют российскую ОС Astra Linux вместо Windows 10. По словам главы департамента, эксперимент проходит успешно.

11.07.2022    1845    VKuser24342747    0       

Вышла версия открытого текстового редактора Vim 9.0

Новость ИТ-новость

В приложение добавлен скриптовый язык с поддержкой компилируемых функций для создания плагинов, улучшена проверка правописания и автодополнения, предоставлен выбор цветовых схем.

07.07.2022    2011    VKuser24342747    0       

 «Яндекс» открыл доступ к SmartCaptcha и нейросети по генерации текстов 

Новость ИТ-новость Яндекс

Компания открыла доступ к алгоритму SmartCaptcha, который защищает сайт от спама и DDoS-атак, а также к проекту YaLM 100B, способному писать тексты на английском и русском языках. 

29.06.2022    2271    VKuser24342747    0       

«Яндекс» предложил разработчикам пройти диагностику технических навыков

Новость Кадровые агентства, подбор персонала ИТ-новость Яндекс

Компания запустила сервис, при помощи которого можно получить оценку своих технических навыков от специалистов «Яндекса». Тестирование включает онлайн-интервью и решение задач с реальных собеседований. 

27.06.2022    2192    VKuser24342747    1       

GitHub открыл доступ всем разработчикам к ИИ-помощнику Copilot по подписке

Новость GitHub Искусственный интеллект ИТ-новость

Github Copilot стал общедоступным, но для его использования пользователю репозитория нужно приобрести подписку. Хотя некоторые разработчики могут пользоваться инструментом бесплатно.

24.06.2022    3872    VKuser24342747    1       

В России планируют учредить Федерацию спортивного программирования

Новость ИТ-новость

Минцифры и Минспорта подписали меморандум, в котором закреплено сотрудничество ведомств по развитию в стране спортивного программирования и проведение первого официального чемпионата.

21.06.2022    2772    VKuser24342747    6       

Microsoft окончательно прекратила поддержку Internet Explorer

Новость Интернет ИТ-новость

Microsoft прекратила выпуск обновлений для своего браузера Internet Explorer, а с августа начнет удалять приложение из актуальных версий Windows. Эксперты полагают, что из-за этого пострадает много бизнес-пользователей.

17.06.2022    3272    VKuser24342747    4       

В России начал работу отечественный сервис мониторинга сбоев

Новость Импортозамещение Интернет ИТ-новость

Российская компания BrandAnalytics запустила платформу «Детектор сбоев», предназначенную для отслеживания работоспособности сайтов и сервисов, в том числе русскоязычных.

16.06.2022    2125    VKuser24342747    0       

Минцифры запустило систему отслеживания поддельных сайтов

Новость Безопасность Интернет ИТ-новость

Информационная система под названием «Антифишинг» способна обнаруживать мошеннические веб-ресурсы, которые выглядят как официальные сайты госорганов, компаний и соцсетей.

14.06.2022    2972    VKuser24342747    0