安全研究员发现,去年每个密币的首次代币发行 (ICO) 活动中平均含有五个安全漏洞,其中只有一次 ICO 中不含有任何严重缺陷。
专门从事 ICO 安全审计的安全公司 Positive.com 指出,他们找到漏洞多数存在于 ICO 的核心即智能合约中。
该公司指出,“71%的经测试项目的智能合约中包含多个漏洞。ICO 启动后,智能合约便无法更改而且向所有人开放,意味着任何人均可检查相关缺陷。一般而言,这些缺陷或不符合 ERC20 标准(数字钱包和密币交易所的代币接口)、或随机数生成不正确、或作用域不正确。”安全专家表示,“一般而言,这些漏洞是因为编程人员专业性不足以及源码测试不充分造成的。”
所有 ICO 移动应用均易受攻击
研究人员还表示,ICO 组织方在2017年推出的所有移动应用均包含多个安全缺陷。好在并非所有的 ICO 组织方均发布移动应用,不过发布了应用的组织方并未在安全方面投资。
安全研究人员表示,他们从 ICO 移动应用中发现的漏洞要多于官方 ICO web 应用。他们指出,移动应用中最常出现的缺陷是使用不安全的数据传输方法、将用户数据存储在手机备份中,并披露攻击者能够捕获并用于攻击用户的会话 ID。研究人员指出,“这些缺陷可用于获取项目、组织方和投资方的详情,并被用于后续攻击中。”
ICO web 应用中出现第三个 ICO 缺陷
安全研究员还在一些 ICO 组织方发布的供用户放置资金并获取 ICO 代币的web 应用中找到了多个安全问题。研究人员表示,ICO 组织方通常未能为项目注册社交账户并未能注册所有版本的 ICO 域名,导致用户易受社工和钓鱼攻击。
此外,ICO 组织方通常未能为敏感账户启用双因素认证,从而无法阻止社工和钓鱼攻击,导致犯罪分子劫持官方 ICO 网站或获取 ICO 存储资金的钱包的控制权。
2017年,尽管美国证券交易委员会打压 ICO 组织方,ICO 的投资仍然超过50亿美元。ICO 组织方是时候重视并投资网络安全了。
Positive.com 推出 ChainWatch 的公开测试版时发布了这些成果。该平台用于分析并监控 ICO 安全,并警告提示 ICO 组织方警惕潜在攻击情况。
此前其它安全研究工作表示,近期的81%的 ICO 是欺诈,这也就解释了为何多数 ICO 组织方不重视安全的原因。
本文由360代码卫士翻译自BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。