Добавить новость
Добавить компанию
Добавить мероприятие
Positive Technologies проанализировала ICO: каждый проект содержит в среднем 5 уязвимостей
19.02.2018 12:57
версия для печати
В каждом третьем проанализированном проекте были обнаружены недостатки, позволяющие атаковать непосредственно организаторов ICO. Пример — атака с целью получения доступа к электронной почте для восстановления паролей от домена, хостинга и других используемых проектом сервисов. В случае успешной реализации возможна подмена адреса кошелька для сбора средств. Предположительно, так была осуществлена атака на Coindash.io, в ходе которой хакеры похитили $7 млн. В ходе ICO остро стоит и проблема защищенности инвесторов. В 23% случаев были выявлены недостатки, позволяющие атаковать их. Пример подобной ошибки — многие проекты не регистрируют на себя на всякий случай все возможные доменные имена и аккаунты в соцсетях. В результате злоумышленники могут легко ввести в заблуждение инвесторов: зарегистрировать аккаунт в соцсети с таким же или с очень похожим названием и разместить там свою информацию и ссылки на поддельные фишинговые сайты. Помимо этого, треть всех уязвимостей были обнаружены в смарт-контрактах. Такие ошибки присутствуют в 71% всех проанализированных проектов. Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Это может приводить к серьезным финансовым потерям, как произошло в случае проектов The DAO и Parity. Более четверти (28%) всех выявленных недостатков ICO были связаны с веб-приложениями проектов. А ситуация с защищенностью мобильных приложений куда хуже: уязвимости были найдены в 100% проанализированных приложений. В среднем, они содержат в 2,5 раза больше уязвимостей, чем веб-приложения тех же проектов. «Ряд уязвимостей связан с безопасностью механизма интеграции блокчейна с прочими компонентами приложения. Например, часто неправильно настраивают механизм безопасности CORS[1], — комментирует Денис Баранов, директор по безопасности приложений компании Positive Technologies. — Некоторые уязвимости ICO свойственны всем веб-приложениям вне зависимости от сферы их использования: это инъекции, раскрытие чувствительной информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и другие. Процедура ICO краткосрочна, и крайне важно предусмотреть векторы атак до ее начала, иначе высок риск финансовых потерь». [1] Позволяет веб-приложению обращаться к приложению блокчейна Редактор раздела: Александр Авдеенко (info@mskit.ru) Рубрики: Интернет, Финансы, Безопасность
наверх
Для того, чтобы вставить ссылку на материал к себе на сайт надо:
|
|||||
А знаете ли Вы что?
MSKIT.RU: последние новости Москвы и Центра13.11.2024 Т2 запустил первый тариф после ребрендингаз> 31.10.2024 «Осенний документооборот – 2024»: взгляд в будущее системы электронного документооборотаз>
|
||||