近年ICO(首次代币发行)蔚为风潮,但专门提供ICO安全稽核的业者Positive.com指出,去年推出的虚拟货币ICO专案中,从智能合约、虚拟货币钱包和行动、Web app、基础架构,平均存在5项安全瑕疵,而高达71%的智能合约有漏洞。
Positive.com指出,该公司分析的ICO专案,经由智能合约、虚拟货币钱包和Web app出现的安全漏洞,至少导致这些专案一年损失1.5亿美金的资金,大约等于9.5%的以太币(Ethereum)被人偷光。
Bleeping Computer引述这家安全业者的研究结果,表示在所有测试的专案中,71%的智能合约有漏洞,这会造成黑客可以读取、甚至修改原本不容许变更的合约属性。业者指出,问题可能包括专案的开发不遵守虚拟货币交易界面相关ERC20标准、随机数生成不正确等因,而究其原因出在他们缺乏程序开发专业及原始码测试不良。
研究还显示,去年ICO专案的行动app都有安全漏洞。被发现的手机app漏洞包括资料传输不安全、用户资料储存在手机中有备份,以及连线(session)ID曝光可能遭黑客滥用等。
研究人员指出,移动版app问题较小,因为不是每个ICO都有发布移动app,但是他们也在ICO的Web app中发现漏洞,而且不乏一般Web app都可见的重大漏洞,包括代码注入、储存敏感资讯的Web服务器曝险、资料传输方式不安全,以及重要档案可被任意读取等。他们稽核结果发现,1/3的ICO安全漏洞与Web app有关。
这家安全厂商还发现,ICO除了软体问题外,组织者本身安全意识也有待加强。像是他们许多没有注册社交网站帐号,或是ICO网域注册太少,使其用户遭到网钓诈骗。而他们自己对敏感帐号也未启用双因素验证,让自己中社交工程及网钓攻击圈套,而导致官网被绑架或ICO数码钱包遭黑客控制。
从基础架构、智能合约到app,所有研究的专案平均有5个漏洞,而1/4的漏洞会害到投资者,1/3让组织者自己遭殃。其中,所有稽核到的银行业ICO之中仅一个没有发现重大瑕疵。
Positive.com并未说明其研究的ICO专案样本总数。
这项研究也呼应了去年以来ICO的安全风险。光是去年年中,就已经有Veritaseum、CoinDash及Enigma Project专案接连被骇而蒙受惨重损失。
閱讀更多 數碼小強 的文章
