`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

ICO-проекты содержат в среднем по пять уязвимостей

0 
 

Эксперты Positive Technologies изучили проблемы информационной безопасности при проведении ICO и внедрении блокчейна в финансовых организациях. В среднем, каждый такой проект содержит пять различных уязвимостей. Потенциальными целями злоумышленников могут стать сами организаторы ICO и инвесторы, а также смарт-контракты, веб-приложения и мобильные приложения.

В каждом третьем проанализированном проекте были обнаружены недостатки, позволяющие атаковать непосредственно организаторов ICO. Пример — атака с целью получения доступа к электронной почте для восстановления паролей от домена, хостинга и других используемых проектом сервисов. В случае успешной реализации возможна подмена адреса кошелька для сбора средств. Предположительно, так была осуществлена атака на Coindash.io, в ходе которой хакеры похитили 7 млн долл.

В ходе ICO остро стоит и проблема защищенности инвесторов. В 23% случаев были выявлены недостатки, позволяющие атаковать их. Пример подобной ошибки — многие проекты не регистрируют на себя на всякий случай все возможные доменные имена и аккаунты в соцсетях. В результате злоумышленники могут легко ввести в заблуждение инвесторов: зарегистрировать аккаунт в соцсети с таким же или с очень похожим названием и разместить там свою информацию и ссылки на поддельные фишинговые сайты.

Помимо этого, треть всех уязвимостей были обнаружены в смарт-контрактах. Такие ошибки присутствуют в 71% всех проанализированных проектов. Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Это может приводить к серьезным финансовым потерям, как произошло в случае проектов The DAO и Parity.

Более четверти (28%) всех выявленных недостатков ICO были связаны с веб-приложениями проектов. Ситуация с защищенностью мобильных приложений куда хуже: уязвимости были найдены в 100% проанализированных приложений. В среднем, они содержат в 2,5 раза больше уязвимостей, чем веб-приложения тех же проектов.

«Ряд уязвимостей связан с безопасностью механизма интеграции блокчейна с прочими компонентами приложения. Например, часто неправильно настраивают механизм безопасности CORS , — комментирует Денис Баранов, директор по безопасности приложений компании Positive Technologies. — Некоторые уязвимости ICO свойственны всем веб-приложениям вне зависимости от сферы их использования: это инъекции, раскрытие чувствительной информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и другие. Процедура ICO краткосрочна, и крайне важно предусмотреть векторы атак до ее начала, иначе высок риск финансовых потерь».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT