根据安全研究人员的调查发现,在去年每一次的加密货币ICO(首次币发行)都平均包含五个安全漏洞,其中只有一次ICO不包含任何严重的安全漏洞。根据Positive.com提供的信息,其中的大部分漏洞都存在于智能合约中。

a.png

研究人员表示,智能合约是ICO的核心和灵魂,而71%的测试项目的智能合约中都包含安全漏洞。当一次ICO启动之后,合约内容是无法进行修改的,并且会开放给每一位参与ICO的用户,这也就意味着任何人都可以寻找其中可能存在的安全漏洞。

Positive.com的专家表示,在这些包含漏洞的智能合约中,有些没有严格遵循ERC20标准(数字钱包和加密货币交换的令牌接口),有些则涉及到错误的随机数生成。通常情况下,导致这些漏洞出现的原因是由于程序员的专业知识不够过硬,以及没有对源代码进行有效的测试。

所有的ICO移动端App都包含漏洞

研究人员还提到,2017年里ICO组织者发布的所有移动端App都包含俺去那漏洞。不过好消息就是并非所有的ICO组织者都会发布自己的移动端App,但那些已经发布了App的组织者,他们并没有在App安全性方面下足功夫。Positive.com团队表示,他们在ICO移动端App中发现的漏洞比ICO官方网站上的漏洞还要多。

专家表示,这些移动端App中最常见的漏洞就是不安全的数据传输方法、用户数据在手机端的不安全备份存储、以及会话ID泄露,而攻击者则可以通过捕捉这些数据来对用户进行攻击。除此之外,攻击者还可以利用这些漏洞来获取ICO项目的详细信息,包括组织者和投资方的详细信息在内,而攻击者就可以利用这些信息来发动后续攻击。

有三分之一的漏洞存在于ICO的Web应用中

研究人员还在某些ICO组织的Web应用程序中发现了不少的安全漏洞,而这些网站主要用于给用户注资并获取ICO令牌。

这些App几乎都包含相同类型的安全漏洞,其中包括代码注入、Web服务器敏感信息泄露、不安全的数据传输以及任意文件读取。

草率的ICO组织者

除了App之外,研究人员还在ICO的后端基础设施中发现了很多安全漏洞。研究人员表示,很多ICO组织者没有注册自己项目的官方社交媒体账号,而且也没有注册下所有版本的ICO域名,因此这将导致用户受到社会工程学以及网络钓鱼等形式的攻击,而且很多ICO项目都没有为敏感信息账号设置双因素身份验证。除此之外,攻击者还可以劫持ICO官方网站,并通过伪造钓鱼站点来获取用户钱包的控制权。

b.png后话

2017年ICO涉及到的投资额高达五十亿美金,从现在的研究数据来看,ICO组织者确实应该对自身业务的安全问题好好处理一下了,否则受影响的不光是自己,用户也会跟着遭殃。还有一个需要注意的地方,根据研究人员的调查,近期举行的ICO有81%都是诈骗活动,这也从另一方面解释了为什么这些ICO组织者对应用和系统的安全并不在意。

* 参考来源:bleepingcomputer