Компания Positive Technologies представила новый отчет, в котором проанализировала риски первичного размещения токенов для привлечения средств в проекты крипторынка (ICO). Выяснилось, что наибольшую угрозу безопасности (32% от общего числа) представляют уязвимости внутри смарт-контрактов, а также в веб-приложениях проектов (особенно в их мобильных версиях).
Директор по безопасности приложений Positive Technologies Денис Баранов:
Если неправильно определить условия обмена активами, можно лишиться всего.
Из-за ошибок в смарт-контрактах становятся возможными такие виды мошенничества, как frontrunning. Этот вид позволяет угадать будущее состояние контракта и получить прибыль с токенов, когда произойдет большая покупка). Также возможны кражи из-за неверного определения области видимости – например, когда функция, устанавливающая владельца кошелька, доступна для вызова любому пользователю платформы. Помимо этого, могут участиться взломы из-за неправильной генерации чисел в коде.
Ошибка определения области видимости в июле 2017 года привела к краже примерно $30 млн из кошелька проекта Parity, на котором хранились средства множества клиентов, включая несколько крупных ICO.
Авторы исследования считают, что уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов, а также из-за недостаточно тщательного тестирования исходного кода. Инвестиционный эксперт BGP Litigation Владимир Русаков:
Большая часть смарт-контрактов пишется на языке Solidity, которым на должном уровне владеет небольшое число программистов. Стоимость качественных разработчиков высока, что побуждает владельцев проектов с ограниченным бюджетом обращаться к специалистам без опыта.
В Positive Technologies также обнаружили, что серьезным рискам подвергается большинство веб-приложений проектов, а особенно – мобильные приложения для инвесторов. Уязвимости нашли в 100% мобильных версий. В целом они содержат в 2,5 раза больше уязвимостей, чем обычные веб-ресурсы.
Стоит отметить, что не все эксперты согласны с тем, что мобильные приложения уязвимы. Так, глава аналитического отдела Aurora Blockchain Capital Георгий Эрман отмечает, что мобильные приложения, использующиеся для привлечения активов и переводов токенов и криптовалюты, «защищаются очень тщательно».
Источник: Коммерсант.ru