Varnostno brezbrižni ICO postopki

Dare Hriberšek

27. jun 2018 ob 07:29:14

Raziskovalci podjetja Positive.com, specializiranega za revizije javnih ponudb kriptožetonov (Initial Coin Offering) so objavili varnostno poročilo, ki je precej kritično do dosedanjih postopkov tovrstnega zbiranja sredstev. Ni nepomembno, da je bilo v lanskem letu globalno za pet milijard ameriških dolarjev takih transakcij, v povprečju pa je vsaka ICO prodaja imela kar pet varnostnih lukenj. Polovica od teh je bila ocenjena na srednje do visoko kritičnih. Najpogostejše varnostne vrzeli so se skrivale v aplikacijah za sklepanje pogodb oz. smart contracts. Gre za programsko kodo, ki na podlagi vnaprej določenih pogojev samodejno razdeljuje digitalne pravice in sredstva med sopogodbeniki. Tovrstne napake, večinoma je šlo za nespoštovanje standarda ERC20, so našli pri 71 % vseh lanskih javnih ponudb.

Drugo pogosto ranljivo področje so mobilne aplikacije, ki si jih za pospeševanje prodaje omisli velika večina ponudnikov. Tu so se raziskovalci največkrat srečali z nezavarovanimi podatkovnimi tokovi, pomanjkljivostmi pri hranjenju podatkov in slabim varovanjem podatkov o uporabnikih. Podobno ranljive so bile tudi spletne aplikacije pri približno polovici ponudnikov.

Druge pomanjkljivosti se nanašajo še na redko uporabljeno dvostopenjsko avtentikacijo uporabniških računov, kar lahko vodi v phishing napade, s katerimi nepridipravi prevzamejo nadzor nas spletno stranjo za zbiranje ponudb ali pa celo nad denarnico, v katerih se nahajajo zbrana sredstva. Lani je bilo tako ukradenih 7 % vseh zbranih sredstev z ICO ponudbami.

Ključno vprašanje, zakaj tolikšna površnost zbiralcev sredstev, morda skriva odgovor v raziskavi Satis Group, ki je razkrila, da se v ozadju 81 % vseh nedavnih javnih ponudb skriva takšna ali drugačna prevara. Slednje morda pojasni, zakaj lanska varnostna ignoranca organizatorjev dosega tako visoke deleže.