Як хакери крадуть мільйони у ICO

40713 Як хакери крадуть мільйони у ICO

За перші шість місяців 2018 року ICO залучили $11,8 млрд, тоді як збори за аналогічний період минулого року склали $5,5 млрд. Цікавий факт — близько 7% залучених в 2017 році на ICO коштів були викрадені хакерами. Керівник групи досліджень відділу розробки засобів захисту додатків Positive Technologies Арсеній Реутов розповів, як знайти помилки в смарт-контракті, уникнути обману при ICO і убезпечити свої вкладення.

Як хакери крадуть мільйони у ICO

Зібрати гроші з допомогою ICO (первинного розміщення токенів) може будь-хто. Процедура почасти схожа на вихід компанії на біржу, але умови ICO, як правило, формулюються у програмному коді, названому смарт-контрактом. Розумні контракти допомагають також прискорити фінансові операції та підвищити їх прозорість. Подібні угоди вже проводили Ощадбанк ” і ВАТ «Северсталь», Альфа-Банк і S7 Airlines, а незабаром зможуть укладати банки Білорусі.

В минулому році ми проаналізували захищеність десятків проектів ICO і реалізацій блокчейн-технологій у банках в Росії і за кордоном. В кожному проекті ICO в середньому містилося п’ять вразливостей. У деяких випадках зловмисникам вистачило б однієї такої помилки, щоб привласнити гроші інвесторів.

Помилки в контрактах

Влітку 2016 року інвестиційний проект The DAO, побудований на базі Ethereum, за декілька годин втратив більше $40 млн за помилки розробників: один з користувачів знайшов спосіб зациклити легітимну функцію смарт-контракті.

Оскільки зловмисник діяв у межах правил платформи DAO, запобігти можливість виведення ним коштів інвесторів проекту вдалося тільки з допомогою хардфорка Ethereum — тобто фактичного поділу кріптовалюти на дві. Завдяки цій дії токени DAO були заморожені і переведені на нову адресу контракту, звідки інвестори проекту змогли їх вивести. Ті ж, хто не погодився з таким кроком, склали ядро користувачів нової кріптовалюти Ethereum Classic.l

Цей крок викликав бурхливі обговорення в криптосообществе. На думку багатьох користувачів, атака на DAO була проведена за допомогою легітимних дій, а значить змінювати правила роботи блокчейна для порятунку інвесторів одного, нехай і великого, проекту не можна. На думку супротивників хардфорка, такий крок підриває довіру до екосистемі Ethereum.

Дивіться також:  Шутки и анекдоты с неожиданным финалом. Позитив – для всех!

Мова, на якому пишуться смарт-контракти, має багато нюансів, які далеко не завжди враховуються в процесі розробки. У 71% досліджених нами проектів ICO смарт-контракти були уразливі. Адже ці контракти безпосередньо визначають процедуру ICO. Вони не можуть бути змінені після публікації в блокчейне і доступні всім бажаючим для перевірки своєї захищеності.

В кінці минулого року була знайдена уразливість в смарт-контракті Ethereum у найбільшої криптовалютной біржі Coinbase. Добре, що її виявили фахівці з інформаційної безпеки, а не «чорні капелюхи» (тобто кіберзлочинці), так як помилка дозволяла зараховувати необмежену кількість кріптовалюти Ethereum («ефір», ETH) на власні рахунки.

Ситуація стала можливою через відмінності при обробці фінансових операцій в блокчейне і в самому Coinbase. За правилами блокчейна, в тому випадку, якщо хоча б один переклад в ланцюжку завершується невдачею, то «відкочується» вся транзакція. Система Coinbase не враховувала це правило, зараховуючи всі успішні переклади, крім останнього — навіть якщо фінальний код статусу транзакції відповідав помилку.

Обман інвесторів

У січні має відбутися офіційне ICO проекту Experty, що займається впровадженням блокчейна в VoIP. Але розробників випередили шахраї, разославшие передплатникам фальшиву інформацію про старт процедури розміщення токенів. У листах були номери підроблених Ethereum-гаманців. Повіривши повідомленнями вкладники в сумі втратили щонайменше $150 тисяч.

Інша проблема нерідко пов’язана з підробленими доменами, схожими за написанням на офіційний ресурс. Наприклад, в ході торішньої атаки на криптовалютную біржу Bittrex користувачі замість авторизації на офіційному сайті bittrex.com вводили свої аутентифікаційні дані на шахрайський ресурсі blttrex.com (в адресі використовувалася буква L замість i).

Потім за допомогою отриманої інформації зловмисники забирали з рахунків криптовалюту жертв через офіційний веб-сайт. Будь-які домени, схожі за написанням, повинні відслідковуватися проектами в області криптовалют і по можливості купуватися, щоб уникнути подібних атак на користувачів.

Дивіться також:  Ржу второй час! Отличная побдорка юмора!

Полювання на організаторів і злом сайту

Втратити кілька мільйонів доларів за кілька хвилин можна і при перехопленні зловмисником доступу до управління сайтом та контентом ICO. У 2017 році приблизно через три хвилини після старту розміщення токенів Coindash.io зловмисникам вдалося підмінити адреса Ethereum-гаманця, в результаті чого були втрачені $7 млн. Імовірно атака стала можливою в результаті відновлення пароля від домену.

У ряді проектів з аналізу захищеності ICO нами була виявлена можливість розкрадання електронної пошти організатора ICO за допомогою запиту на відновлення пароля, а потім його зміни. Наявність двофакторної аутентифікації, що використовує номери мобільних телефонів для доступу до email адресу, також не гарантує 100% безпеку.

У 2017 році експерти Positive Technologies показали сценарій отримання доступу до електронної пошти і криптокошельку, перехоплюючи SMS-повідомлення з одноразовими паролями з допомогою вразливостей SS7. В ході експерименту по злому тестового гаманця в Coinbase дослідникам досить було мінімальних відомостей про жертву (ім’я, прізвище та номер телефону), щоб отримати пароль від аккаунта і безперешкодно вивести віртуальні гроші. Експлуатуючи уразливості SS7 для перехоплення SMS-повідомлень з одноразовими паролями, експерти змогли дізнатися адресу електронної пошти, прив’язаною до гаманця, захопити над нею контроль і отримати доступ до гаманця.

В половині проектів ICO нами були виявлені уразливості на сайтах. Частина помилок типові для всіх веб-додатків: це ін’єкції (тобто впровадження шкідливого коду), розкриття чутливої інформації веб-сервером, вразливості та недоліки налаштування, що дозволяють перехоплювати дані і т. д. Зустрічаються і специфічні помилки: наприклад, неправильна настройка механізму безпеки браузерів CORS. Він використовується для створення політик, що дозволяє сайтам звертатися до сторонніх, в тому числі локальних ресурсів: наприклад, до ноде блокчейна.

Як хакери крадуть мільйони у ICO

Безпека як необхідність

Поставимо себе на місце інвестора. Наприклад, йому сподобалася команда проекту, сайт, дорожня карта, «вайт пейпер». Можливо, він оцінив він і той факт, що ICO, як у випадку з Telegram, приймає виключно фіатні гроші, що знижує ймовірність нарватися на шахраїв з боку організаторів ICO.

Дивіться також:  Воздушный и насыщенный сливочным запахом творожный кекс

Але стикаючись з потоком новин про злом і розорення ICO, сьогоднішній інвестор буде обирати серед стартапів, які грунтовно подбали про безпеку своїх проектів. В іншому випадку їх зламають, і будь-які благі наміри не будуть мати ніякого значення.

Процедура ICO зазвичай триває недовго, від декількох годин до місяця, але цього часу цілком достатньо, щоб проект був атакований. Важливо проаналізувати вектори загроз до її початку, так як під час ICO їх будуть шукати безліч зловмисників. А проблеми, пов’язані, наприклад, з атаками на інвесторів або організаторів, будуть шукати задовго до публічного розміщення токенів.

Потенційні інвестори також повинні приділяти увагу питанням інформаційної безпеки. Їм необхідно не тільки використовувати двофакторну аутентифікацію і «холодні» сховища для кріптовалюти і токенів, але і самостійно аналізувати рівень захищеності даних ICO.

Тут важливо приділяти увагу не тільки базовими параметрами, які допомагають фільтрувати скам-проекти (рейтинги на ресурсах начебто Tokenguru і ICO Bench перевіряється наявність інформації про команду, докладний опис бізнес-моделі, опрацьований White paper тощо), але і тому, наскільки команда проекту уважно підходить до питань безпеки. Наприклад, чи доступна інформація про участь в ICO всім, або її отримують тільки користувачі, які підтвердили email. Також у спільнотах проектів в соціальних мережах і месенджерах часто з’являються шахраї, що видають себе за адміністраторів і намагаються виманити гроші користувачів — команда ICO повинна оперативно припиняти такі спроби і регулярно публікувати дані про безпечних і легітимні способи покупки квитків.

Фахівці Positive Technologies допомогли усунути уразливість, уникнути кібератак і успішно провести ICO цілого ряду великих проектів. Так, utrust.io в ході ICO зібрав $21 млн, Blackmoon — $30 млн, а trade.io — $31 млн.

Автор:
Дата:
Из той же категории: (Без рубрики)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

восемнадцать − 17 =

Сейчас читают:
top