© ComNews
20.02.2018

По результатам исследования Positive Technologies, каждый ICO-проект содержит в среднем пять уязвимостей. Потенциальными целями злоумышленников могут стать сами организаторы ICO и инвесторы, а также смарт-контракты, веб-приложения и мобильные приложения. 

В каждом третьем проанализированном проекте были обнаружены недостатки, позволяющие атаковать непосредственно организаторов ICO. Об этом сообщают эксперты Positive Technologies, делясь результатами исследования.

Также остро стоит проблема защищенности инвесторов на ICO. В 23% случаев были выявлены недостатки, позволяющие атаковать их. "Пример подобной ошибки: многие проекты регистрируют на себя на всякий случай всевозможные доменные имена и аккаунты в соцсетях. В результате злоумышленники могут легко ввести в заблуждение инвесторов - зарегистрировать аккаунт в соцсети с таким же или с очень похожим названием и разместить там свою информацию и ссылки на поддельные фишинговые сайты", - рассказали эксперты Positive Technologies.

Исследование показало, что треть всех уязвимостей была обнаружена в смарт-контрактах. Такие ошибки присутствуют в 71% всех проанализированных проектов. "Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Это может приводить к серьезным финансовым потерям, как произошло в случае проектов The DAO и Parity", - предупредили в Positive Technologies.

Более четверти (28%) всех выявленных недостатков ICO были связаны с веб-приложениями проектов. А ситуация с защищенностью мобильных приложений куда хуже: уязвимости были найдены в 100% проанализированных приложений. В среднем они содержат в 2,5 раза больше уязвимостей, чем веб-приложения тех же проектов.

"Некоторые уязвимости ICO свойственны всем веб-приложениям вне зависимости от сферы их использования: это инъекции, раскрытие чувствительной информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и др. Процедура ICO краткосрочна, и крайне важно предусмотреть векторы атак до ее начала, иначе высок риск финансовых потерь", - рассказал директор по безопасности приложений Positive Technologies Денис Баранов.

В исследовании проводились аудиты 15 проектов. В число обследованных проектов вошли криптовалютные стартапы (ICO) и внедрение блокчейна для реализации системы аккредитивов в одном из банков (входящего в топ-15 по размеру активов), реализованные на платформе Ethereum. Как рассказал корреспонденту ComNews специалист Positive Technologies, две трети проектов (66%) реализованы в странах континентальной Европы, остальные - российские. В числе обследованных ICO-проектов такие, как utrust.io (с капитализацией в $21 млн), trade.io ($31 млн) и Blackmoon ($30 млн).

"В среднем аудит каждого проекта в зависимости от сложности занимает две-три недели. Проекты выбирались исходя из уровня сложности реализации смарт-контрактов. Это было связано с тем, что для Positive Technologies основной задачей было изучение максимального спектра проблем, с которыми можно столкнуться при внедрении технологий блокчейн в реальных условиях, и понимание всего комплекса ошибок, допускаемых разработчиками смарт-контрактов", - добавил Денис Баранов.

"Проанализированные нами ICO вне зависимости от территориального фактора имели схожие уязвимости: например, наиболее частый недостаток в смарт-контрактах - несоответствие стандарту ERC20, который описывает интерфейс токена для кошельков и криптобирж. Если стандарт реализован в токене неправильно, то это может привести к неожиданным результатам вплоть до невозможности торговли и переводов", - подчеркнул Денис Баранов.

В качестве характерной особенности российских ICO-проектов специалист Positive Technologies выделил двухфакторную аутентификацию. К примеру, если для электронной почты сотрудников ICO-проекта настроена двухфакторная аутентификация и для восстановления пароля требуется SMS-подтверждение, то в России у всех основных сотовых операторов на черном рынке киберпреступники могут купить детализацию входящих SMS-сообщений любого номера телефона.

Согласно исследованию Group-IB и Ernst & Young (E&Y) за 2017 г. было потеряно около 10% всех средств, привлеченных на ICO. Это составляет почти $400 млн. Каждое ICO в среднем подвергается 100 атакам. За год количество атак выросло в 10 раз.

Эксперты Group-IB заметили тенденцию, что все больше злоумышленников из финансового сектора меняют фокус с банков на криптоиндустрию. В частности, наиболее "благоприятным" периодом для совершения атак для них является ICO.

"Киберпреступники используют в основном традиционные схемы, обкатанные при атаках на банки, и применяют тот же инструментарий для взлома криптобирж, кошельков и атак на пользователей. Так, например, банковский троян TrickBot получил дополнительный функционал для кражи средств со счетов в Coinbase (одна из крупнейших криптовалютных бирж в мире). Функционал для атаки криптокошельков был добавлен и в другой банковский троян - Tinba", - заметил эксперт по защите блокчейн-проектов компании Group-IB Илья Обушенко.

По мнению эксперта Group-IB, чаще всего атаки злоумышленников направлены на команду, саму площадку или коммуникации с инвесторами. "Основные усилия они концентрируют на перехвате средств от инвесторов, например с помощью банального фишинга или более тяжелого варианта - взлома смарт-контракта. Также злоумышленники стараются украсть деньги после ICO. Это, например, получение разными способами доступа к аккаунтам основателей, которые имеют доступ к кошелькам, а затем поиск возможных паролей для кошельков в разных местах, связанных с аккаунтами", - пояснил он.

Главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев сообщил, что, по некоторым данным, за прошлый год было украдено порядка $350 млн, что составляет минимум 10% от объема средств, привлеченных в ходе ICO.

По словам Александра Гостева, увеличение или уменьшение объема похищенных средств через ICO будет зависеть от количества планируемых ICO. В течение года эксперты "Лаборатории Касперского" наблюдали совершенно разные векторы атак на криптовалютной бирже - создание поддельных ICO-сайтов, взломы настоящих сайтов, организации DDoS-атак с целью вымогательства, фишинговые атаки на кошельки пользователей, а также откровенно мошеннические ICO, целью которых был простой сбор денег без последующей реализации идеи. Такими результатами поделился Александр Гостев.

Руководитель проектов по информационной безопасности компании "Крок" (ЗАО "КРОК инкорпорейтед") Павел Луцик заметил, что в настоящее время усилия злоумышленников нацелены на различные криптовалютные сервисы. "При этом можно выделить атаки, нацеленные на несанкционированный вывод криптосредств со счетов криптобирж или их клиентов, а также нацеленные на мошенничества в области майнинга", - пояснил он.

Сюда он отнес скрытый майнинг на ПК и серверах пользователей без их ведома и подмена адресов криптокошелька пользователей, осуществляющих майнинг на своих компьютерах. "В последнее время также распространен фишинг под криптовалютные сервисы. Но не стоит сбрасывать со счетов и другие векторы атак, которые по-прежнему доставляют немало головной боли банкам и их клиентам. Это, в частности, атаки на различные банковские системы, в том числе системы межбанковских переводов, централизованные атаки на банкоматы и атаки на мобильные устройства с целью вывода средств с помощью мобильных троянов", - заметил специалист "Крок".