В каждом третьем проанализированном проекте были обнаружены недостатки, позволяющие атаковать непосредственно организаторов ICO. Пример — атака с целью получения доступа к электронной почте для восстановления паролей от домена, хостинга и других используемых проектом сервисов. В случае успешной реализации возможна подмена адреса кошелька для сбора средств. Предположительно, так была осуществлена атака на Coindash.io, в ходе которой хакеры похитили $7 млн.
В ходе ICO остро стоит и проблема защищенности инвесторов. В 23% случаев были выявлены недостатки, позволяющие атаковать их. Пример подобной ошибки — многие проекты не регистрируют на себя на всякий случай все возможные доменные имена и аккаунты в соцсетях. В результате злоумышленники могут легко ввести в заблуждение инвесторов: зарегистрировать аккаунт в соцсети с таким же или с очень похожим названием и разместить там свою информацию и ссылки на поддельные фишинговые сайты.
Помимо этого, треть всех уязвимостей были обнаружены в смарт-контрактах. Такие ошибки присутствуют в 71% всех проанализированных проектов. Уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Это может приводить к серьезным финансовым потерям, как произошло в случае проектов The DAO и Parity.
Более четверти (28%) всех выявленных недостатков ICO были связаны с веб-приложениями проектов. А ситуация с защищенностью мобильных приложений куда хуже: уязвимости были найдены в 100% проанализированных приложений. В среднем, они содержат в 2,5 раза больше уязвимостей, чем веб-приложения тех же проектов.
«Ряд уязвимостей связан с безопасностью механизма интеграции блокчейна с прочими компонентами приложения. Например, часто неправильно настраивают механизм безопасности CORS[1], — комментирует Денис Баранов, директор по безопасности приложений компании Positive Technologies. — Некоторые уязвимости ICO свойственны всем веб-приложениям вне зависимости от сферы их использования: это инъекции, раскрытие чувствительной информации веб-сервером, небезопасная передача данных, чтение произвольных файлов и другие. Процедура ICO краткосрочна, и крайне важно предусмотреть векторы атак до ее начала, иначе высок риск финансовых потерь».