Хакеры выходят на ICO
Размещения цифровых активов оказались уязвимы для смарт-контрактов и приложений
Самые большие риски блокчейн-проектов, в том числе и при проведении ICO, кроются в механизмах смарт-контрактов, а также в работе веб-приложений. Невнимание к наличию таких ошибок может привести к вмешательству в ICO кибермошенников и многомиллионным потерям.
“Ъ” ознакомился с результатами исследования компании Positive Technologies, в котором проанализированы основные риски при проведении Initial Coin Offering (ICO, первичное размещение токенов для привлечения средств в проекты крипторынка). Эксперты проверили 15 проектов, в частности utrust.io (капитализация $21 млн), trade.io ($31 млн) и Blackmoon ($30 млн). По итогам выяснилось, что наибольшую угрозу безопасности (32% от общего числа) представляют уязвимости внутри смарт-контрактов (цифровых алгоритмов, которые определяют условия обмена активами между сторонами), в веб-приложениях проектов и особенно в их мобильных версиях.
Positive Technologies — российская компания, работающая в области комплексной защиты крупных информационных систем от киберугроз. Образована в 2002 году. Имеет лицензии Министерства обороны и ФСТЭК на деятельность в области создания средств защиты информации.
«Если неправильно определить условия обмена активами, можно лишиться всего»,— подчеркивает директор по безопасности приложений Positive Technologies Денис Баранов. По данным исследования, из-за ошибок в смарт-контрактах чаще всего становятся возможными такие виды кибермошенничества, как frontrunning (позволяет предугадать будущее состояние контракта, и, например, получить прибыль с токенов, когда происходит большая покупка), кражи из-за неверного определения области видимости (например, когда функция, устанавливающая владельца кошелька, доступна для вызова любому пользователю платформы) и взломы из-за неправильной генерации случайных чисел в коде.
Так, ошибка в определении области видимости в июле 2017 года стала причиной кражи около $30 млн из кошелька Parity, на котором хранились средства множества клиентов, включая несколько крупных ICO. В ноябре из-за критической уязвимости новой версии смарт-контракта оказались заморожены более $285 млн клиентов Parity.
По мнению авторов исследования, уязвимости в смарт-контрактах возникают из-за нехватки знаний у программистов и недостаточно тщательного тестирования исходного кода. Проблема в том, что сама технология только начинает развиваться, считает директор по глобальным коммуникациям Waves Platform Наталья Малева. «Большая часть смарт-контрактов пишется на языке Solidity, которым на должном уровне владеет небольшое число программистов. Стоимость качественных разработчиков высока, что побуждает владельцев проектов с ограниченным бюджетом обращаться к специалистам без опыта»,— подтверждает инвестиционный эксперт BGP Litigation Владимир Русаков. По словам главы аналитического отдела Aurora Blockchain Capital Георгия Эрмана, многие заказчики понятия не имеют, какие уязвимости могут быть в их смарт-контрактах, поэтому не заказывают дополнительный аудит. Традиционно все сообщество выступало в роли аудитора качества кода, это происходит на сервисе GitHub, уточняет господин Русаков. Но по мере популяризации технологии блокчейна число проектов выросло, поэтому рассчитывать на аудит кода не стоит, уверен он.
Также в Positive Technologies обнаружили, что серьезным рискам подвергается большинство веб-приложений проектов, и особенно мобильные приложения для инвесторов. Так, уязвимости были обнаружены в 100% мобильных версий, в целом они содержат в 2,5 раза больше уязвимостей, чем обычные веб-ресурсы. «Среди наиболее распространенных недостатков — небезопасная передача данных, хранение пользовательских данных в резервных копиях, служебная информация, оставленная разработчиками в коде приложения, раскрытие идентификатора сессии»,— отмечают авторы исследования.
Такие ошибки позволяют получить дополнительные сведения о проекте, организаторах и инвесторах и могут быть использованы в ходе дальнейших атак. В случае получения доступа к мобильному телефону жертвы злоумышленник может получить доступ к приложению и выполнять действия от его лица, в том числе вывести средства. Но эти выводы подтверждают далеко не все эксперты. Георгий Эрман полагает, что мобильные приложения, которые используются для привлечения активов и переводов токенов и криптовалюты, «защищаются очень тщательно». Если же приложение используется только для связи с целевой аудиторией, добавляет он, на защите можно и сэкономить.
Криптовалютам не хватает надежности
По данным специалистов в области кибербезопасности, криптовалюты и блокчейны не так устойчивы к кражам и взломам, как принято считать. Менее чем за десять лет преступникам удалось украсть со счетов пользователей и бирж не менее $1,2 млрд в биткойнах и эфирах.