007 - Свыше 70% ICO-проектов уязвимы в смарт-контрактах

01.07.18 - 19-38

Исследование:

свыше 70% ICO-проектов уязвимы в смарт-контрактах

НОВОСТИ26.06.2018

Исследователи безопасности компании Positive

обнаружили в среднем по пять уязвимостей в каждом ICO,

состоявшихся в прошлом году.

Об этом пишет Bleeping Computer.

По данным исследователей,

только один проект первичного предложения монет не содержал багов.

В ходе исследования было выявлено,

что 71% проектов содержал уязвимости в смарт-контрактах.

Среди распространенных проблем аналитики выделили

несоответствие стандарту ERC-20,

некорректную генерацию случайных чисел и другие существенные недостатки.

Эксперты заявили, что подобные уязвимости появляются

из-за отсутствия надлежащей квалификации программистов

и недостаточного тестирования исходного кода.

Больше всего брешей в безопасности аналитики обнаружили

в ICO-проектах по разработке мобильных приложений.

Среди распространенных уязвимостей были названы:

небезопасная передача данных,

ненадежное хранение пользовательских данных в резервных копиях телефона

и раскрытие идентификатора сессии.

Некоторые уязвимости в веб-приложениях были направлены на атаку средств инвесторов.

Например, из-за отсутствия надлежащей безопасности

хакеры могли зарегистрировать домен, схожий с ICO,

создать фишинговые сайты, тем самым обманув инвесторов.

Согласно исследованию, каждый третий проект содержал уязвимости,

позволяющие хакерам получить доступ к данным и сбережениям компаний-организаторов.

Также аналитики отметили, что

многие инициаторы ICO не использовали двухфакторную аутентификацию для важных аккаунтов.

Ранее ForkLog сообщал, что

в смарт-контрактах на блокчейне Ethereum обнаружено свыше 34 тысяч уязвимостей.

https://forklog.com/issledovanie-u-svyshe-70-ico-proektov-vyyavleny-uyazvimosti-v-smart-kontraktah/

-----------

В смарт-контрактах на блокчейне Ethereum

обнаружено свыше 34 тысяч уязвимостей

НОВОСТИ23.02.2018

В настоящее время в блокчейне Ethereum работают сотни тысяч смарт-контрактов,

управляющих кошельками, токенами, приложениями

или использующихся для хранения средств.

Группа британских исследователей самостоятельно смогла идентифицировать

34 200 уязвимых смарт-контрактов,

пишет Motherboard.

Помощник профессора из Университетского колледжа Лондона Илья Сергей и его коллеги

провели масштабное исследование для обнаружения

всех возможных уязвимостей смарт-контрактов на блокчейне Ethereum.

Для этого они скачали блокчейн Ethereum,

по сути создав его форк для личного пользования,

и начали запускать разнообразные сценарии,

пытаясь добиться нежелательных последствий.

Когда эти последствия наступали, они помечали смарт-контракт «с отслеженной уязвимостью».

Проанализировав таким образом около миллиона смарт-контрактов,

исследователи обнаружили, что в 34 200 из них содержались критические уязвимости.

Они проверили свои предположения на 3000 смарт-контрактах,

и в 89% случаев вызвали те самые нежелательные последствия.

В теории это могло бы позволить им украсть $6 млн в Ethereum.

По словам экспертов, раннее обнаружение уязвимостей позволяет предотвратить

возможные негативные последствия.

Так, например, в ноябре 2017 года пользователь под псевдонимом DevOps19

нашел уязвимость в коде библиотеки Ethereum-кошелька Parity

и случайно заблокировал $150 млн.

«Мы работаем с приложениями, у которых есть две очень неприятных особенности: они используются для управления вашими деньгами и их нельзя исправить», — пояснил Илья Сергей.

Попытки найти создателей уязвимых смарт-контрактов оказались тщетными.

Но поскольку исследователи не сообщают,

в каких именно смарт-контрактах были обнаружены уязвимости,

условно их можно считать безопасными.

«Если кто-то захочет воспользоваться нашей идеей, ему, по крайней мере, придется проделать столько работы, сколько сделали мы», — подытожил исследователь.

Напомним, в январе подразделение Cisco

обнаружило ряд уязвимостей в Ethereum-клиенте Parity.

В первую очередь, речь шла об операционном коде create2,

неправильная работа которого могла привести

к широкомасштабной DoS-атаке на поддерживающие его ноды.

Более того, ряд «лазеек» в программном обеспечении кошелька

позволяли получать доступ к закрытой информации.

Несколько дней спустя представители Parity Technologies заявили, что указанные уязвимости были исправлены в новых версиях программного обеспечения Ethereum-клиента.

https://forklog.com/v-smart-kontraktah-na-blokchejne-ethereum-obnaruzheno-svyshe-34-tysyach-uyazvimostej/