Principales amenazas a la seguridad planteadas por los proyectos ICO
¿Su empresa está pensando en ingresar al mundo de las criptomonedas con una oferta inicial de monedas (ICO)? Es posible que lo desee pensar de nuevo. Los proyectos ICO contienen un promedio de cinco vulnerabilidades separadas, y el 47% de esas vulnerabilidades son de gravedad media a alta, lo que puede poner a su empresa en riesgo de pérdida de información y dinero, según un informe de lunes de Positive.
Positive examinó las auditorías de proyectos de ICO de 2017 y descubrió que las inversiones totales en ICO superaron los 5 mil millones de dólares ese año, y se esperaban más en 2018. Con grandes cantidades de dinero involucradas, las ICO son un objetivo principal para los ciberdelincuentes: de todos los fondos recaudados el año pasado, El 7%, o 300 millones de dólares, fue robado, según el informe.
"En un ICO, el tiempo es esencial, y los cortos plazos significan que anticipar los ataques evitan muchas pérdidas financieras", dijo en un comunicado de prensa Leigh-Anne Galloway, líder de la resistencia a la ciberseguridad en Positive.
"Las últimas cifras muestran la tasa cada vez mayor de delincuencia y fraude en el mercado de criptomonedas, y los ciberdelincuentes reconocen la oportunidad que presenta el espectacular aumento del mercado de criptomonedas en los últimos meses".
Aquí están los cinco grupos diferentes de vulnerabilidades encontradas en los proyectos de ICO, y qué los causa, según el informe:
1. Vulnerabilidades que permiten ataques contra los organizadores de la ICO
Uno de cada tres ICO estudiados tenía fallos que hacían posible que los hackers atacaran a los organizadores de la ICO. Los ataques pueden tomar la forma de secuestro de la cuenta de correo electrónico del organizador de la ICO u obtener información de mensajes de texto de comerciantes de la darknet o técnicas de ingeniería social para eludir la autenticación de dos factores.
Una vez que la cuenta ha sido secuestrada, los atacantes pueden restablecer la contraseña para el dominio ICO o el host web, y reemplazar la dirección de la billetera.
2. Vulnerabilidades en los contratos inteligentes
Los contratos inteligentes son un importante eslabón débil en la cadena ICO, según el informe: el 71% de los proyectos probados contenían vulnerabilidades en esta área.
Estas vulnerabilidades generalmente son causadas por la falta de experiencia del programador y pruebas insuficientes del código fuente, señaló el informe.
3. Vulnerabilidades en aplicaciones web
La mitad de los proyectos de ICO estudiados contenía vulnerabilidades en las aplicaciones web de la ICO, según el informe.
Algunos de estos involucraban la seguridad de la cadena de bloques y sus implementaciones de back-end, mientras que otros involucraban problemas más generales con la inyección de código, la divulgación de información sensible del servidor web, la transferencia de datos y la lectura de archivos arbitraria.
4. Vulnerabilidades que permiten ataques contra inversores
Alrededor del 23% de los proyectos examinados en el informe contenían fallos que permitían ataques contra los inversores.
Estos riesgos pueden mitigarse con una fuerte planificación previa por parte de los equipos de ICO, en términos de registrar todas las versiones posibles del nombre de dominio del proyecto y registrar nombres en las cuentas de las redes sociales.
5. Vulnerabilidades en aplicaciones móviles
Algunos equipos de ICOs crean aplicaciones móviles para hacer que los proyectos sean más accesibles para el los inversores.
El 100% de las aplicaciones móviles de ICO estudiadas contenían vulnerabilidades.
Según el informe, estas aplicaciones también contenían 2.5 veces más vulnerabilidades que las aplicaciones web. Los defectos más comunes encontrados incluyen transferencia de datos de forma insegura, almacenamiento de datos de usuario en las copias de seguridad y divulgación de la ID de sesión.
"Los equipos ICO tienen la responsabilidad de garantizar que su postura de seguridad sea lo más robusta posible, desde el desarrollo del contrato inteligente y las aplicaciones web hasta la supervisión de la carga una vez que el ICO haya comenzado y ayudar a los inversores a evitar los ataques de phishing".
Fuente: Positive