研究人员：去年每一次的ICO平均有五个漏洞

根据安全研究人员的调查发现，在去年每一次的加密货币ICO（首次币发行）都平均包含五个安全漏洞，其中只有一次ICO不包含任何严重的安全漏洞。根据Positive.com提供的信息，其中的大部分漏洞都存在于智能合约中。

研究人员表示，智能合约是ICO的核心和灵魂，而71%的测试项目的智能合约中都包含安全漏洞。当一次ICO启动之后，合约内容是无法进行修改的，并且会开放给每一位参与ICO的用户，这也就意味着任何人都可以寻找其中可能存在的安全漏洞。

Positive.com的专家表示，在这些包含漏洞的智能合约中，有些没有严格遵循ERC20标准（数字钱包和加密货币交换的令牌接口），有些则涉及到错误的随机数生成。通常情况下，导致这些漏洞出现的原因是由于程序员的专业知识不够过硬，以及没有对源代码进行有效的测试。

所有的ICO移动端App都包含漏洞

研究人员还提到，2017年里ICO组织者发布的所有移动端App都包含俺去那漏洞。不过好消息就是并非所有的ICO组织者都会发布自己的移动端App，但那些已经发布了App的组织者，他们并没有在App安全性方面下足功夫。Positive.com团队表示，他们在ICO移动端App中发现的漏洞比ICO官方网站上的漏洞还要多。

专家表示，这些移动端App中最常见的漏洞就是不安全的数据传输方法、用户数据在手机端的不安全备份存储、以及会话ID泄露，而攻击者则可以通过捕捉这些数据来对用户进行攻击。除此之外，攻击者还可以利用这些漏洞来获取ICO项目的详细信息，包括组织者和投资方的详细信息在内，而攻击者就可以利用这些信息来发动后续攻击。

有三分之一的漏洞存在于ICO的Web应用中

研究人员还在某些ICO组织的Web应用程序中发现了不少的安全漏洞，而这些网站主要用于给用户注资并获取ICO令牌。

这些App几乎都包含相同类型的安全漏洞，其中包括代码注入、Web服务器敏感信息泄露、不安全的数据传输以及任意文件读取。

草率的ICO组织者

除了App之外，研究人员还在ICO的后端基础设施中发现了很多安全漏洞。研究人员表示，很多ICO组织者没有注册自己项目的官方社交媒体账号，而且也没有注册下所有版本的ICO域名，因此这将导致用户受到社会工程学以及网络钓鱼等形式的攻击，而且很多ICO项目都没有为敏感信息账号设置双因素身份验证。除此之外，攻击者还可以劫持ICO官方网站，并通过伪造钓鱼站点来获取用户钱包的控制权。

后话

2017年ICO涉及到的投资额高达五十亿美金，从现在的研究数据来看，ICO组织者确实应该对自身业务的安全问题好好处理一下了，否则受影响的不光是自己，用户也会跟着遭殃。还有一个需要注意的地方，根据研究人员的调查，近期举行的ICO有81%都是诈骗活动，这也从另一方面解释了为什么这些ICO组织者对应用和系统的安全并不在意。

* 参考来源：bleepingcomputer，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM