報告：ICO專案平均有5項漏洞，約7成智慧合約有安全風險

近年ICO（首次代幣發行）蔚為風潮，但專門提供ICO安全稽核的業者Positive.com指出，去年推出的加密貨幣ICO專案中，從智慧合約、加密貨幣錢包和行動、Web app、基礎架構，平均存在5項安全瑕疵，而高達71%的智慧合約有漏洞。

Positive.com指出，該公司分析的ICO專案，經由智慧合約、加密貨幣錢包和Web app出現的安全漏洞，至少導致這些專案一年損失1.5億美金的資金，大約等於9.5%的以太幣（Ethereum）被人偷光。

Bleeping Computer引述這家安全業者的研究結果，表示在所有測試的專案中，71%的智慧合約有漏洞，這會造成駭客可以讀取、甚至修改原本不容許變更的合約內容。業者指出，問題可能包括專案的開發不遵守加密貨幣交易介面相關ERC20標準、隨機數生成不正確等因，而究其原因出在他們缺乏程式開發專業及原始碼測試不良。

研究還顯示，去年ICO專案的行動app都有安全漏洞。被發現的手機app漏洞包括資料傳輸不安全、用戶資料儲存在手機中有備份，以及連線（session）ID曝光可能遭駭客濫用等。

研究人員指出，行動版app問題較小，因為不是每個ICO都有發佈行動app，但是他們也在ICO的Web app中發現漏洞，而且不乏一般Web app都可見的重大漏洞，包括程式碼注入、儲存敏感資訊的Web伺服器曝險、資料傳輸方式不安全，以及重要檔案可被任意讀取等。他們稽核結果發現，1/3的ICO安全漏洞與Web app有關。

這家安全廠商還發現，ICO除了軟體問題外，組織者本身安全意識也有待加強。像是他們許多沒有註冊社交網站帳號，或是ICO網域註冊太少，使其用戶遭到網釣詐騙。而他們自己對敏感帳號也未啟用雙因素驗證，讓自己中社交工程及網釣攻擊圈套，而導致官網被綁架或ICO數位錢包遭駭客控制。

從基礎架構、智慧合約到app，所有研究的專案平均有5個漏洞，而1/4的漏洞會害到投資者，1/3讓組織者自己遭殃。其中，所有稽核到的銀行業ICO之中僅一個沒有發現重大瑕疵。

Positive.com並未說明其研究的ICO專案樣本總數。

這項研究也呼應了去年以來ICO的安全風險。光是去年年中，就已經有Veritaseum、CoinDash及Enigma Project專案接連被駭而蒙受慘重損失。