前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >研究人员:去年每一次的ICO平均有五个漏洞

研究人员:去年每一次的ICO平均有五个漏洞

作者头像
FB客服
发布2018-07-31 10:03:06
3980
发布2018-07-31 10:03:06
举报
文章被收录于专栏:FreeBuf

根据安全研究人员的调查发现,在去年每一次的加密货币ICO(首次币发行)都平均包含五个安全漏洞,其中只有一次ICO不包含任何严重的安全漏洞。根据Positive.com提供的信息,其中的大部分漏洞都存在于智能合约中。

研究人员表示,智能合约是ICO的核心和灵魂,而71%的测试项目的智能合约中都包含安全漏洞。当一次ICO启动之后,合约内容是无法进行修改的,并且会开放给每一位参与ICO的用户,这也就意味着任何人都可以寻找其中可能存在的安全漏洞。

Positive.com的专家表示,在这些包含漏洞的智能合约中,有些没有严格遵循ERC20标准(数字钱包和加密货币交换的令牌接口),有些则涉及到错误的随机数生成。通常情况下,导致这些漏洞出现的原因是由于程序员的专业知识不够过硬,以及没有对源代码进行有效的测试。

所有的ICO移动端App都包含漏洞

研究人员还提到,2017年里ICO组织者发布的所有移动端App都包含俺去那漏洞。不过好消息就是并非所有的ICO组织者都会发布自己的移动端App,但那些已经发布了App的组织者,他们并没有在App安全性方面下足功夫。Positive.com团队表示,他们在ICO移动端App中发现的漏洞比ICO官方网站上的漏洞还要多。

专家表示,这些移动端App中最常见的漏洞就是不安全的数据传输方法、用户数据在手机端的不安全备份存储、以及会话ID泄露,而攻击者则可以通过捕捉这些数据来对用户进行攻击。除此之外,攻击者还可以利用这些漏洞来获取ICO项目的详细信息,包括组织者和投资方的详细信息在内,而攻击者就可以利用这些信息来发动后续攻击。

有三分之一的漏洞存在于ICO的Web应用中

研究人员还在某些ICO组织的Web应用程序中发现了不少的安全漏洞,而这些网站主要用于给用户注资并获取ICO令牌。

这些App几乎都包含相同类型的安全漏洞,其中包括代码注入、Web服务器敏感信息泄露、不安全的数据传输以及任意文件读取。

草率的ICO组织者

除了App之外,研究人员还在ICO的后端基础设施中发现了很多安全漏洞。研究人员表示,很多ICO组织者没有注册自己项目的官方社交媒体账号,而且也没有注册下所有版本的ICO域名,因此这将导致用户受到社会工程学以及网络钓鱼等形式的攻击,而且很多ICO项目都没有为敏感信息账号设置双因素身份验证。除此之外,攻击者还可以劫持ICO官方网站,并通过伪造钓鱼站点来获取用户钱包的控制权。

后话

2017年ICO涉及到的投资额高达五十亿美金,从现在的研究数据来看,ICO组织者确实应该对自身业务的安全问题好好处理一下了,否则受影响的不光是自己,用户也会跟着遭殃。还有一个需要注意的地方,根据研究人员的调查,近期举行的ICO有81%都是诈骗活动,这也从另一方面解释了为什么这些ICO组织者对应用和系统的安全并不在意。

* 参考来源:bleepingcomputer,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-07-08,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 所有的ICO移动端App都包含漏洞
    • 有三分之一的漏洞存在于ICO的Web应用中
      • 草率的ICO组织者
      相关产品与服务
      数字身份管控平台
      数字身份管控平台(Identity and Access Management)为您提供集中式的数字身份管控服务。在企业 IT 应用开发时,数字身份管控平台可为您集中管理用户账号、分配访问权限以及配置身份认证规则,避免因员工账号、授权分配不当导致的安全事故。在互联网应用开发时,数字身份管控平台可为您打通应用的身份数据,更好地实现用户画像,也可为用户提供便捷的身份认证体验,提升用户留存。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档