专栏首页FreeBuf研究人员:去年每一次的ICO平均有五个漏洞

研究人员:去年每一次的ICO平均有五个漏洞

根据安全研究人员的调查发现,在去年每一次的加密货币ICO(首次币发行)都平均包含五个安全漏洞,其中只有一次ICO不包含任何严重的安全漏洞。根据Positive.com提供的信息,其中的大部分漏洞都存在于智能合约中。

研究人员表示,智能合约是ICO的核心和灵魂,而71%的测试项目的智能合约中都包含安全漏洞。当一次ICO启动之后,合约内容是无法进行修改的,并且会开放给每一位参与ICO的用户,这也就意味着任何人都可以寻找其中可能存在的安全漏洞。

Positive.com的专家表示,在这些包含漏洞的智能合约中,有些没有严格遵循ERC20标准(数字钱包和加密货币交换的令牌接口),有些则涉及到错误的随机数生成。通常情况下,导致这些漏洞出现的原因是由于程序员的专业知识不够过硬,以及没有对源代码进行有效的测试。

所有的ICO移动端App都包含漏洞

研究人员还提到,2017年里ICO组织者发布的所有移动端App都包含俺去那漏洞。不过好消息就是并非所有的ICO组织者都会发布自己的移动端App,但那些已经发布了App的组织者,他们并没有在App安全性方面下足功夫。Positive.com团队表示,他们在ICO移动端App中发现的漏洞比ICO官方网站上的漏洞还要多。

专家表示,这些移动端App中最常见的漏洞就是不安全的数据传输方法、用户数据在手机端的不安全备份存储、以及会话ID泄露,而攻击者则可以通过捕捉这些数据来对用户进行攻击。除此之外,攻击者还可以利用这些漏洞来获取ICO项目的详细信息,包括组织者和投资方的详细信息在内,而攻击者就可以利用这些信息来发动后续攻击。

有三分之一的漏洞存在于ICO的Web应用中

研究人员还在某些ICO组织的Web应用程序中发现了不少的安全漏洞,而这些网站主要用于给用户注资并获取ICO令牌。

这些App几乎都包含相同类型的安全漏洞,其中包括代码注入、Web服务器敏感信息泄露、不安全的数据传输以及任意文件读取。

草率的ICO组织者

除了App之外,研究人员还在ICO的后端基础设施中发现了很多安全漏洞。研究人员表示,很多ICO组织者没有注册自己项目的官方社交媒体账号,而且也没有注册下所有版本的ICO域名,因此这将导致用户受到社会工程学以及网络钓鱼等形式的攻击,而且很多ICO项目都没有为敏感信息账号设置双因素身份验证。除此之外,攻击者还可以劫持ICO官方网站,并通过伪造钓鱼站点来获取用户钱包的控制权。

后话

2017年ICO涉及到的投资额高达五十亿美金,从现在的研究数据来看,ICO组织者确实应该对自身业务的安全问题好好处理一下了,否则受影响的不光是自己,用户也会跟着遭殃。还有一个需要注意的地方,根据研究人员的调查,近期举行的ICO有81%都是诈骗活动,这也从另一方面解释了为什么这些ICO组织者对应用和系统的安全并不在意。

* 参考来源:bleepingcomputer,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 基于HTML5的Canvas指纹跟踪技术

    时至今日有许多的方式来跟踪访客,例如使用存在用户端的cookie技术,这种技术现已被大部分公司遗弃,如今出现了一种新的方法替代cookie可以来跟踪用户。 在这...

    FB客服
  • 记一次开源工具某模块的基础二次开发

    近日看到一些关于工具的文章,很多人对于写工具类文章都是蜻蜓点水,写搭建,写基础使用,但是基础的开源工具在生产环境上的使用其实是比较困难的,有很多需要二次开发做到...

    FB客服
  • APT15组织研究白皮书

    Ke3chang组织也被称为APT15,该组织的攻击行为于2012年第一次被曝光,该组织当时利用远程后门攻击全世界的高价值目标。该组织活动最早可以追溯到2010...

    FB客服
  • 一夜暴富? ICO还能“蹦跶”多久?光鲜背后的那些冷思考

    针对当下ICO热潮,《麻省理工科技评论杂志》(GL)与英格兰银行前数字货币研究主管Robleh Ali (RA)面对面进行了讨论。以下为谈论的具体内容:

    区块链大本营
  • 极客周刊丨ICO监管政策将出台,维基解密网站被黑,三星S7再闹爆炸门...

    一川水巷
  • 2017上半年国内ICO发展情况报告:上半年国内ICO融资超26亿 参与人次超10万!

    近来,ICO(Initial Coin Offering),即通过发行加密代币的方式进行融资的行为异常火热。然而ICO存在诸多潜在风险,包括项目失败或跑路导致...

    点滴科技资讯
  • 看不懂的ICO被判了死刑,这次我要为监管部门叫声好

    大约是三周前的一个周末,跟朋友聚餐,聊彼此最近在做的事情,朋友说最近很流行ICO,他的朋友正在做ICO,说有人通过ICO轻轻松松融资几个亿,还是美元。他们正打算...

    罗超频道
  • RocketMQ Connection命令【实战笔记】

    瓜农老梁
  • Shell下制作自解压安装包,实现脚本的简单加密

    一、原理阐述 在 linux 下可以用几个最基本的命令制作一个自解压的程序。其原理是:利用 cat 命令可以将两个文件连起来(用>>追加也能达到同样效果),前一...

    张戈
  • [C语言] 数据结构-预备知识结构体

    pst->name="shihan";//<==> (*pst).name

    陶士涵

扫码关注云+社区

领取腾讯云代金券