Лишь одно ICO, проведенное в прошлом году, не имело критических уязвимостей, заявляют эксперты Positive.com, специализирующейся на аудите таких проектов. В среднем же ICO имеет пять брешей в безопасности, пишет Bleeping Computer.
Эксперты подчеркнули:
71% протестированных проектов содержали уязвимости в смарт-контрактах, то есть в главной части ICO. После начала ICO контракт нельзя изменить. Он остаётся открытым для всех, а значит, любой желающий может просматривать его и находить уязвимости.
Как правило, уязвимости — это несоответствие стандарту ERC20 (интерфейс токена для цифровых кошельков и бирж криптовалют), некорректная генерация случайных чисел и неправильное определение контекста. Возникают они из-за недостаточного тестирования кода или низкого уровня опыта программистов.
Эксперты заявили, что все ICO, разрабатывавшие мобильные приложения в 2017 году, оставили в них бреши в безопасности. Однако далеко не все компании успели выпустить приложения. В мобильных приложениях ICO выявлено больше дыр, чем в приложениях на их официальных сайтах.
Чаще всего в мобильных приложениях использовали небезопасный метод передачи данных, хранение пользовательских данных в бэкапе телефона и раскрытие ID сессии — им может воспользоваться злоумышленник. Эксперты подчеркнули:
Эти уязвимости можно использовать для получения информации о проекте, его организаторах и инвесторах. Такую информацию хакер может применить в дальнейших атаках.
Важно также, что многие организаторы ICO не активировали двухфакторную аутентификацию для критически важных аккаунтов. Таким образом, они облегчили задачу злоумышленникам и позволили взломать официальные сайты и кошельки с собранными средствами.