圖片來源: 

Positive.com

近年ICO(首次代幣發行)蔚為風潮,但專門提供ICO安全稽核的業者Positive.com指出,去年推出的加密貨幣ICO專案中,從智慧合約、加密貨幣錢包和行動、Web app、基礎架構,平均存在5項安全瑕疵,而高達71%的智慧合約有漏洞。

Positive.com指出,該公司分析的ICO專案,經由智慧合約、加密貨幣錢包和Web app出現的安全漏洞,至少導致這些專案一年損失1.5億美金的資金,大約等於9.5%的以太幣(Ethereum)被人偷光。

Bleeping Computer引述這家安全業者的研究結果,表示在所有測試的專案中,71%的智慧合約有漏洞,這會造成駭客可以讀取、甚至修改原本不容許變更的合約內容。業者指出,問題可能包括專案的開發不遵守加密貨幣交易介面相關ERC20標準、隨機數生成不正確等因,而究其原因出在他們缺乏程式開發專業及原始碼測試不良。

研究還顯示,去年ICO專案的行動app都有安全漏洞。被發現的手機app漏洞包括資料傳輸不安全、用戶資料儲存在手機中有備份,以及連線(session)ID曝光可能遭駭客濫用等。

研究人員指出,行動版app問題較小,因為不是每個ICO都有發佈行動app,但是他們也在ICO的Web app中發現漏洞,而且不乏一般Web app都可見的重大漏洞,包括程式碼注入、儲存敏感資訊的Web伺服器曝險、資料傳輸方式不安全,以及重要檔案可被任意讀取等。他們稽核結果發現,1/3的ICO安全漏洞與Web app有關。

這家安全廠商還發現,ICO除了軟體問題外,組織者本身安全意識也有待加強。像是他們許多沒有註冊社交網站帳號,或是ICO網域註冊太少,使其用戶遭到網釣詐騙。而他們自己對敏感帳號也未啟用雙因素驗證,讓自己中社交工程及網釣攻擊圈套,而導致官網被綁架或ICO數位錢包遭駭客控制。

從基礎架構、智慧合約到app,所有研究的專案平均有5個漏洞,而1/4的漏洞會害到投資者,1/3讓組織者自己遭殃。其中,所有稽核到的銀行業ICO之中僅一個沒有發現重大瑕疵。

Positive.com並未說明其研究的ICO專案樣本總數。

這項研究也呼應了去年以來ICO的安全風險。光是去年年中,就已經有VeritaseumCoinDashEnigma Project專案接連被駭而蒙受慘重損失。


Advertisement

更多 iThome相關內容