Как швейцарский сыр: каждый проект ICO содержит более пяти «дыр» в безопасности

20.02.2018     
Специалисты из Positive Technologies проанализировали защиту процедуры ICO от киберпреступников, а также безопасность внедрения блокчейн-технологий в российских и зарубежных банках.

По словам экспертов, в каждом проекте первичного размещения токенов есть, как минимум, пять различных уязвимостей, которые позволяют хакерам похитить собранные инвестиции. Среди самых распространенных методов злоумышленников выделяют: атаки на организаторов или инвесторов, а также использование уязвимостей в смарт-контрактах, веб- и мобильных приложениях.

Как сообщается в отчете Positive Technologies, в течение 2017 года с помощью ICO по всему миру было привлечено более 5 млрд долларов от инвесторов, и 7% от этой суммы (около 300 млн долларов) было похищено киберпреступниками.

Роковые ошибки организаторов

В ходе исследования аналитикам из Positive Technologies удалось выяснить, что примерно треть организаторов ICO являются уязвимыми для атаки. Злоумышленники легко могут получить доступ к электронным почтовым ящикам организаторов, используя информацию на официальном сайте проекта. Там зачастую содержатся имена, фамилии и фотографии руководителей.

Используя эту информацию, можно вычислить участников проекта в соцсетях, определить их почтовые логины и подобрать правильные ответы на контрольные вопросы для восстановления паролей от различных сервисов, включая домены и хостинги. Если процедура изменения пароля потребует подтверждение с помощью смс, хакер может просто купить на черном рынке детализацию входящих сообщений абонента. В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Получив доступ к почте, хакер может поменять место хранения собранных средств на собственный электронный кошелек. Таким методом злоумышленникам удалось вывести из Coindash.io около 7 млн долларов – преступники всего лишь изменили адрес Ethereum-кошелька. 

Еще одной ошибкой организаторов ICO часто является то, что они не регистрируют на себя все возможные доменные имена и аккаунты в соцсетях, которые могут ассоциироваться с их проектом. Например, в ходе атаки на криптовалютную биржу  Bittrex хакеры воспользовались невнимательностью пользователей и заставили их ввести свои данные для авторизации не на официальном сайте bittrex.com, а на фишинговом  blttrex.com.

Чего следует опасаться инвесторам

Инвесторы являются не менее уязвимым звеном для киберпреступников. По результатам исследования, их оказалось возможным атаковать в 23% случаев. Чтобы обмануть инвесторов, достаточно создать фейковую страницу в социальных сетях, название которой будет совпадать или иметь сходство с названием проекта ICO. На фальшивой странице злоумышленники могут размещать информацию о проекте, содержащую ссылки на фишинговые сайты. 

Бреши в смарт-контрактах

Согласно результатам исследования Positive Technologies, 71% всех проанализированных ICO имеет баги в смарт-контрактах. На них приходится 32% всех выявленных уязвимостей. Как правило, такие «дыры» возникают вследствие недостаточной квалификации программистов или слишком поверхностного тестирования исходного кода. 

К характерным ошибкам относится – несоответствие стандарту интерфейса токена ERC20, некорректная генерация случайных чисел, неправильное определение области видимости, некорректная верификация отправителя транзакции, а также целочисленное переполнение и ошибки в бизнес-логике.

С помощью уязвимости в смарт-контрактах в июне 2016 года были украдены средства у проекта The DAO. «Дыра» возникла из-за ошибки разработчиков в описании одной из функций. Кроме того, от подобной атаки пострадал проект Parity. Летом 2017 года хакеры нанесли проекту ущерб в размере 30 млн долларов, а в ноябре того же года заморозили на его счетах еще 285 млн долларов. 

Уязвимость в приложениях

Еще 28% всех уязвимостей при проведении ICO приходится на веб-приложения. Однако по сравнению с мобильными приложениями этот показатель не так уж и плох – там уязвимым является каждое первое приложение из всех проанализированных, а общее количество брешей выше в 2,5 раза.

Директор по безопасности приложений в Positive Technologies Денис Баранов отметил, что уязвимости зачастую присутствуют в механизме интеграции блокчейна с другими компонентами приложения. Например, часто встречается некорректная настройка механизма безопасности CORS, который позволяет веб-приложению контактировать с блокчейном. 

Еще одной опасностью является некорректное внедрение блокчейна в серверную часть веб-приложения, например, с помощью web3.js.

Также эксперт акцентировал внимание на том, что большинство приложений ICO не застрахованы от уязвимостей, характерных для приложений в целом – инъекций кода, раскрытия конфиденциальной информации веб-сервером, небезопасной передачи данных, чтения произвольных файлов и т.д. Например, зарегистрировавшись у того же хостинг-провайдера, что и веб-приложения ICO, злоумышленники могут использовать уязвимость для чтения произвольных файлов на сервере, а затем взять приложение под контроль. 

В исследовании отмечается, что распространенными недостатками мобильных приложений, как правило, являются небезопасная передача данных, хранение пользовательских данных в резервных копиях, а также наличие в коде приложения служебной информации и раскрытие идентификатора сессии.



Автор:
Яна Казьмина Редактор ленты новостей


Комментарии
В избранное Подписаться на ответы Сортировка: Рейтинг 1-го уровня
1. Ziggurat 50 21.02.18 09:31 Сейчас в теме
Где купить
В зависимости от оператора, детализация за месяц может стоить от 3 до 8 тыс. рублей.

Или автор новости нам соврал.
sasha777666; +1 Ответить 2
Оставьте свое сообщение

См. также

GitLab вышел на биржу с капитализацией 11 млрд долларов США

Новость git ИТ-новость Новости компаний

Компания GitLab, которая разработала одноименную систему управления git-репозиториями, провела первичное размещение акций (IPO) на бирже Nasdaq. Капитализация разработчика достигла 11 млрд долларов США.

сегодня в 14:37    629    user1015646    0       

В России создали лицензию для свободного ПО

Новость Импортозамещение ИТ-новость Минкомсвязь

Специалисты Минцифры разработали государственную открытую лицензию для программного обеспечения. Официальной презентации документа не проводили – текст документа обнаружили в Git-репозитории.

вчера в 16:17    1286    user1015646    1       

Депутаты Госдумы предложили Google и YouTube обсудить исполнение российских законов

Новость Google Законодательство ИТ-новость Новости компаний

Депутаты Госдумы пригласили Google и YouTube 25 октября в формате видеоконференции обсудить соблюдение российского законодательства. ИТ-компании приняли предложение.

19.10.2021    2182    VKuser24342747    9       

Разработчик создал язык Ć для написания кода на С, Python и JavaScript одновременно

Новость ИТ-новость Языки программирования

Разработчик из Польши Петр Фусик представил язык программирования Ć. Главная особенность технологии – возможность транслировать написанный код на С, С++, Java, Python и другие языки.

19.10.2021    7955    VKuser24342747    3       

Microsoft добавила подсистему Windows для Linux в Microsoft Store

Новость Windows ИТ-новость Новости компаний

Пользователям Windows 11 стала доступна предварительная версия подсистемы Windows для Linux (WSL). Ее можно установить из Microsoft Store.

18.10.2021    4533    SKravchenko    5       

Python вытеснил C с первого места в рейтинге языков программирования за октябрь

Новость ИТ-новость Рейтинг Языки программирования

Python впервые за 20 лет сумел обогнать Java и C по популярности и занять первую строчку в рейтинге TIOBE. Автор языка программирования Гвидо ван Россум поблагодарил сообщество за поддержку.

18.10.2021    4149    VKuser24342747    4       

Google сказал «SOS»: интернет-гигант поддержит новую программу вознаграждений

Новость Google ИТ-новость

Компания Google объявила о поддержке пилотной программы вознаграждений за поиск уязвимостей в софте с открытым исходным кодом. Ее назвали SOS (Secure Open Source, безопасное открытое ПО).

15.10.2021    1891    user1015646    0       

Samsung по ошибке предложил британцам предустановить российское ПО

Новость Импортозамещение ИТ-новость Мобильные приложения Новости компаний

Samsung в описании обновления для пользователей из Великобритании упомянула о том, что на устройства будут предустановлены российские мобильные приложения. Позже компания признала сообщение техническим сбоем.

14.10.2021    2492    VKuser24342747    2       

PostgreSQL 14: встречаем новую версию популярной СУБД с открытым кодом

Новость PostgreSQL ИТ-новость

Разработчики представили крупное обновление СУБД PostgreSQL. В свежей 14-й версии упростили доступ к информации в JSON-формате и добавили поддержку несмежных диапазонов, улучшили производительность и работу с распределенными данными.

13.10.2021    2909    user1015646    1       

Новые возможности Microsoft Office 2021

Новость ИТ-новость Новости компаний

5 октября Microsoft выпустила новую версию офисного пакета приложений Office 2021. Он предназначен для предприятий и пользователей, которые не хотят покупать Office 365, доступный только по подписке.

12.10.2021    8072    SKravchenko    0       

МГУ представил первый национальный стандарт для ИИ и больших данных

Новость Искусственный интеллект ИТ-новость

Национальный центр цифровой экономики МГУ подготовил к публичному обсуждению первую редакцию отечественного стандарта для работы с большими данными и нейросетями.

12.10.2021    4224    VKuser24342747    1       

Минцифры намерено встроить электронную подпись в SIM-карту

Новость ИТ-новость Минкомсвязь Цифровая подпись

Минцифры совместно с ФСБ, провайдерами и научными организациями разрабатывают технологию, которая позволит использовать электронную подпись при помощи стандартной SIM-карты.

11.10.2021    7402    VKuser24342747    2       

Крупнейшие российские ИТ-разработчики объединятся для развития Open Source

Новость Импортозамещение ИТ-новость Цифровая экономика

В Москве прошел форум Russia Open Source Summit. На нем лидеры российской ИТ-отрасли презентовали стратегию развития Open Source до 2024 года и анонсировали создание некоммерческой организации Russian Open Source Foundation.

11.10.2021    9617    ЕленаЧерепнева    2       

Язык программирования Python получил масштабное обновление

Новость ИТ-новость Языки программирования

В официальном блоге Python представлена последняя стабильная версия языка под номером 3.10.0. Из новинок – улучшенное отображение ошибок, поддержка структурного сопоставления и более строгого итерирования.

08.10.2021    11203    VKuser24342747    8       

Microsoft официально выпустила релизную версию Windows 11

Новость Windows ИТ-новость Новости компаний

Бесплатное обновление Windows 10 до одиннадцатой версии доступно для всех владельцев системы. Главные изменения – повышенная безопасность и улучшение дизайна.

07.10.2021    4919    VKuser24342747    7       

Крупное обновление для Ubuntu стало доступно для бета-тестирования

Новость Ubuntu ИТ-новость

Разработчики представили бета-версию Ubuntu 21.10 под названием Impish Indri. Последний раз операционная система получала крупный апдейт весной 2021 года.

05.10.2021    14125    VKuser24342747    4       

Привет, Java 17: что нового

Новость ИТ-новость Языки программирования

Вышла новая версия Java 17. Три ключевых изменения: использование только строгой семантики чисел с плавающей точкой, единый API (прикладной программный интерфейс) для генераторов псевдослучайных чисел и отдельный API сторонних функций и памяти.

04.10.2021    9201    user1015646    0       

Исследователи нашли способ передавать данные через полое оптоволокно

Новость Интернет ИТ-новость Телекоммуникации

Британская компания BT заявила о создании пустотелого оптического волокна, заполненного воздухом. Технология может применяться для передачи данных, в том числе использующих квантовое шифрование.

04.10.2021    7349    VKuser24342747    2       

С 2023 года Google Chrome переходит на платформу Manifest V3. Старые расширения перестанут работать

Новость Google Безопасность Интернет ИТ-новость

Google объявил о переходе на новую платформу для расширений в Chrome – Manifest v3. Разработчики расширений опасаются, что блокировщики рекламы не смогут работать с новой версией платформы.

04.10.2021    3007    SKravchenko    4       

Yandex.Cloud выйдет на рынок Европы с сервисом виртуальных рабочих столов

Новость ИТ-новость Яндекс

В следующем году «Яндекс» планирует открыть представительство в Германии. Филиал российской компании будет продвигать на европейском рынке набор сервисов Yandex.Cloud.

01.10.2021    12472    VKuser24342747    4       

OpenAI научила нейросеть кратко пересказывать содержимое книг

Новость Искусственный интеллект ИТ-новость

OpenAI представила инструмент, который генерирует краткое содержание книг при помощи машинного обучения. Нейросеть способна ужать произведение из тысяч слов до нескольких сотен.

30.09.2021    14443    VKuser24342747    2       

Microsoft предложила установить финальную версию Windows 11 на неделю раньше

Новость Windows ИТ-новость

Официальная дата релиза Windows 11 – 5 октября 2021 года. Однако Microsoft открыла доступ к обновлению ОС уже сейчас через канал тестирования Release Preview.

27.09.2021    5352    VKuser24342747    6       

JetBrains открыла ранний доступ к новой IDE для Data Science

Новость ИТ-новость Новости компаний

7 сентября JetBrains разместила в своем блоге статью с информацией о том, что новая IDE DataSpell, которая с марта 2021 года находилась в закрытом тестировании по программе раннего доступа (EAP), становится доступной для всех желающих.

24.09.2021    17341    capitan    4       

Microsoft предлагает отказаться от паролей в пользу сервиса Authentication

Новость Безопасность Интернет ИТ-новость Новости компаний

Microsoft видит проблему в стандартных паролях, которые зачастую повторяются и имеют низкую надежность. В компании убеждены, что альтернативные способы аутентификации более безопасны.

24.09.2021    3629    VKuser24342747    3       

Правительство утвердило разработку российского аналога GitHub

Новость ИТ-новость Цифровая экономика

Премьер-министр Михаил Мишустин на форуме Kazan Digital Week анонсировал создание отечественного репозитория, аналогичного GitHub. Проект реализуется в рамках второго пакета поддержки ИТ.

22.09.2021    7450    VKuser24342747    25