近日,国外的一项研究报告显示,去年所有ICO项目存在5个安全漏洞,其中47%是能够致使相关机构面临数据和资金损失风险的中高危漏洞。
这项研究对2017年的ICO项目进行统计分析,发现去年ICO的总投资超过了50亿美元,预计今年还会更多。由于牵涉到大量资金,所以ICO成为了网络犯罪分子的主要目标:报告显示,去年被盗的ICO资金占到7%(3亿美元)。
这份报告指出,去年ICO项目中,有71%的测试项目中存在智能合约漏洞。我们知道,智能合约是ICO的灵魂,一旦启动就无法改变并向所有人开放,这意味着任何人都能查看并寻找其中的缺陷。
所有ICO移动应用都很脆弱
研究人员表示,所有ICO企业在2017年推出的移动应用都存在安全漏洞。好消息是,并非所有ICO企业都发布了移动应用程序,但是那些发布了的人并没有保护其移动应用免受攻击。
研究团队在ICO移动应用中发现的漏洞数量是ICO官方Web应用中漏洞的2.5倍。最常见的漏洞包括不安全的数据传输、用户数据在电话备份中的存储以及会话ID泄漏,这些都能令攻击者劫持并用来攻击用户。
研究人员表示:这些漏洞有利于攻击者窃取ICO项目企业和投资者的详细信息,从而在后续中利用这些信息发起攻击。
1/3的漏洞出现在ICO Web应用中
研究人员还在一些能让用户存放资金并购买ICO代币的ICO Web应用中发现很多安全漏洞。
这些Web应用容易受到相同类型的漏洞攻击,比如代码注入、Web服务器敏感信息泄露、不安全的数据传输以及任意文件读取等。
研究显示,有1/3的ICO安全漏洞都与其Web应用相关联。
粗心的ICO企业
研究人员发现的其他方面的安全漏洞,都与ICO投资者和ICO基础设施有关。
研究者认为,ICO企业通常没有为其项目注册社交媒体账户,也没能注册ICO域名的所有版本,从而使得用户受到了社工和网络钓鱼攻击。
最后同样重要的一点是,ICO企业往往没有为敏感账户启用双因素/多因素身份认证,导致攻击者通过社工和钓鱼攻击窃取账户信息,从而劫持官方ICO网站或取得钱包的控制权。
据悉,在这篇报告中提到的5个主要安全漏洞中,有两个都与身份易被窃取有关,即ICO企业和投资者方面都存在这样的漏洞,这也提醒相关ICO企业一定要启用双因素/多因素身份认证,以便为项目及其用户把好可信身份认证这一重要关卡。
当然,之前的一项研究还发现,有81%的ICO项目都属于诈骗,这或许可以一定程度上解释为什么大多数ICO企业不会为安全问题而烦恼吧。