Исследование: хакеры крадут деньги на ICO из-за ошибок в смарт-контактах и приложениях
Наибольшие риски в области кибербезопасности для компаний, которые разрабатывают решения в сфере блокчейна и проводят ICO, кроются в механизмах смарт-контрактов (алгоритмы, определяющие условия обмена активами), а также в работе веб-приложений. Наличие таких ошибок часто приводит к краже денег хакерами, говорится в исследовании Positive Technologies, с которым ознакомился «Коммерсантъ».
Исследователи проверили 15 проектов, которые в 2017 году провели ICO. В их числе — utrust.io (капитализация $21 млн), trade.io ($31 млн) и Blackmoon ($30 млн). В 32% случаев хакерам удалось похитить часть средств инвесторов, используя ошибки в смарт-контактах.
Чаще всего ошибки при разработке позволяют мошенникам предугадать состояние контракта и получить прибыль с токенов при большой покупке (frontrunning) или взломать его из-за неправильной генерации случайных чисел в коде. Главными причинами таких краж являются недостаток знаний у программистов и недостаточно тщательное тестирование исходного кода, считают исследователи.
«Большая часть смарт-контрактов пишется на языке Solidity, которым на должном уровне владеет небольшое число программистов. Стоимость качественных разработчиков высока, что побуждает владельцев проектов с ограниченным бюджетом обращаться к специалистам без опыта»,— рассказал изданию инвестиционный эксперт BGP Litigation Владимир Русаков.
В 2017 году по всему миру состоялось 372 ICO. В результате компании привлекли около $3,7 млрд, $400 млн (или 10%) из которых были украдены. По оценкам аналитиков, больше всего токенов было украдено хакерами, которые воспользовались «хайпом, необратимостью блокчейн-транзакций и ошибками в программировании».