研究人员：去年发布的 ICO 中，平均每次发行存在5个安全隐患

年度订阅用户可加入科技英语学习社区，每周科技英语直播讲堂，详情查看“阅读原文”

安全研究人员发现，去年发行的虚拟货币 ICO（首次代币发行）中，平均每次发行存在五个安全漏洞。2017 年仅有一次 ICO 发行不存在任何严重的安全缺陷。

 

据 ICO 安全审计公司Positive.com 称，他们发现的大多数漏洞都是在 ICO 本身的智能合约中发现的。

 

该公司表示：“71％的测试项目包含智能合约中的漏洞。一旦 ICO 发行，合同不能改变，并向所有人开放，这意味着任何人都可以查看它并从中寻找漏洞。”

 

Positive.com 专家表示：“通常情况下，这些合同中的漏洞包括：不符合 ERC20 标准、不正确的随机数字生成和不正确的范围界定等。通常，这些漏洞是由于程序员缺乏专业知识和源代码测试不充分而造成的。”

 

所有 ICO 移动应用都在危险中

 

研究人员还表示，所有 ICO 组织在 2017 年推出的 App 都存在安全漏洞。好消息是，并非所有 ICO 组织者都发布了移动应用程序，但是那些发布了的组织，并没有防止它免受攻击。

 

Positive.com 团队表示，他们在 ICO App 中发现的漏洞，要多于在 ICO 官方网络应用程序中的漏洞。

 

专家表示，移动应用程序中最常见的缺陷是使用不安全的数据传输方法，用户数据存储在电话备份中，以及泄露攻击者可以捕获和使用的会话 ID。

 

Positive.com 表示：“这些缺陷可能有助于获得有关项目，组织者和投资者的详细信息，从而促使他人使用这些漏洞。”

 

ICO 安全漏洞中有三分之一出现在 ICO 网络应用程序中

 

但是安全研究人员还发现一些 ICO 组织者发布的网络应用中存在安全漏洞。

 

这些应用程序易受相同类型的漏洞攻击，事实上，所有网络应用程序都易受攻击——代码植入、Web 服务器泄露敏感信息、不安全的数据传输以及任意文件读取。

 

Positive.com 说，ICO 相关的安全漏洞中，有三分之一与 ICO 的网络应用程序相关联。

 

懒散的 ICO 组织者

其次，研究人员还发现，有些安全漏洞来自 ICO 投资者本身以及 ICO 的基础设施。

 

研究人员认为，ICO 组织者往往未能为其项目注册社交媒体帐户，也未能注册 ICO 域名的所有版本，从而使用户受到社交工程和网络钓鱼攻击。

 

此外，ICO 组织者往往未能为敏感账户启用双重身份验证，导致骗子劫持官方 ICO 网站或获得 ICO 存储资金的钱包控制权。

 

2017 年投资于 ICO 的总额超过 50 亿美元，美国证券交易委员会（SEC）也对 ICO 组织进行了打击，ICO 组织者现在应该加大对网络安全的投资，以防止黑客劫持他们辛辛苦苦挣来的钱。

 

Positive.com 在 ChainWatch 推出公开测试版后公布了这些数据。ChainWatch 是一个分析和监控 ICO 安全性并提醒 ICO 组织应对潜在攻击的平台。

 

之前的一项研究还发现，最近的 ICO 中有 81％ 都是诈骗，这也许可以解释为什么大多数 ICO 组织不会为安全而烦恼。

-End-

编辑：Benny

校审：戴青

参考：https://www.bleepingcomputer.com/news/security/researchers-last-year-s-icos-had-five-security-vulnerabilities-on-average/

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/