在线阅读杂志

    2018年05月20日

    第10期 总第484期

    封面文章
    “网银”殊途同归路
    金融服务似乎正在以你想要的方式前行。 相应的,金融的生态及格局也在发生重大变化。技术的推动让金融的数字化转型愈发明显,传统金融机构“离柜率”同互联网银行业务激增形成强烈的对比。[详细]
    精彩推荐
  • 卡巴斯基:黑客如何让ICO面临风险

    时间:2019-04-29    来源:    作者: 我要评论() 字号:T | T

  • 尽管加密数字货币的炒作逐渐放缓,但首次代币发行(ICO)仍然是一种创业公司吸引投资常见的方式。虽然ICO的整体数量减少,但从2018年第三季度到第四季度实际完成的项目数量有所增加,表明这个市场日益成熟。

    虽然对发展中的企业来说,ICO的速度和便捷性无疑是有益的,但它可能会摒弃一些“资金”。由于缺乏监管,欺诈者进入加密货币市场相对容易,投资ICO必须面临欺诈的巨大风险。不仅如此,即使是合法的项目,也可能让投资者的资金面临风险,因为ICO项目的所有者,甚至开发人员可能并不总是能认识到网络安全的挑战。

    事实上,加密货币行业黑客的一个诱人目标,因为一旦攻击成功,他们就可以直接获取资金,并理解将其兑换为其他加密货币或法定货币(由政府发行)。这就是为什么创业企业需要在整个ICO生命周期中采用适当的安全措施的原因。

    ICO的准备和宣布

    甚至在ICO启动之前,网络罪犯就不会坐视不管,而是在加紧活动并收集有关项目及其团队的信息。他们已经在监视论坛以及专门的新闻网站和社交媒体,以找到潜在的受害者。这使攻击者可以获得更好的机会进行网络钓鱼和社交工程,进入网络,利用恶意软件感染项目的智能合约。

    发现有关ICO的信息后,网络罪犯可以在真正的项目启动之前,制作一个假冒的ICO网站,甚至向早期投资者进行预售ICO广告。这正是TelegramICO欺诈案件所发生的事情,当时出现了许多销售Grams(Telegram的令牌)的假冒网站。有趣的是,这些欺诈者有时候做出的努力比真正的项目负责人做出的还多,以证明他们的可信性,让受害者更便捷地进行支付。例如,有些欺诈网站会推出聊天功能,引导人们完成汇款过程。

    在创建虚假网站时,网络犯罪分子试图遵循技术文档和白皮书的风格

    没有任何标准可以帮助开发应用程序和智能合约,也没有可以确保公司安全背后的基本原则。所以对大多数企业来说,简单的网络钓鱼仍然是入侵加密货币市场中公司的有效途径之一。

    在ICO期间以及收到资金之后

    当ICO上线后,就开启了针对ICO网站以及项目智能合约进行攻击的大门。

    如果攻击者在项目早期阶段成功利用恶意软件感染了智能合约,他们就可以利用其窃取数字货币。即使他们没有成功入侵,仍然有可能窃取资金。在专注于启动项目的同时,ICO背后的团队经常忽视平台的保护或验证智能合约。有这些的真实案例,就因为此,公司和投资者损失了资金。这类案例中,最值得注意的是DAO(去中心化自治组织)入侵事件,其智能合约中的一个漏洞被利用。但是,这还不是唯一一次。2018年9月,黑客通过利用智能合约中的一个漏洞,从EOSBets创业公司的电子钱包中窃取了价值约200,000美元的加密货币。

    不仅如此,即使撰写的智能合约是安全的,但ICO的网站也会带来风险。网络罪犯可能通过多种方式入侵网站——例如通过暴力密码破解攻击,或通过对系统管理员进行钓鱼攻击,或者利用漏洞进行攻击,之后,将进行活动的加密货币钱包地址替换成他们自己的地址。这样的案例在2017年出现过,当时投资者想要将钱汇入CoinDash创业公司的钱包,结果却将价值700万美元的加密货币直接汇给了攻击者。

    近年来,针对ICO的网络攻击变得越来越真实。但是由于这一领域几乎没有监管机构,返还投资的责任在于ICO项目所有者。令人担忧的是,很多已知的案例中,对于被盗的资金,投资者没有收到任何补偿。这导致他们在未来进行加密货币投资时非常谨慎。

    在区块链市场引入严格的立法或合规要求是不可能的,因为这样做会破坏这项技术的中心思想——尽量减少官僚主义的延误并提高业务运营的速度。但这并不意味着投资家应当完全忽视ICO。为了展示自己的可靠性,准备进行ICO的企业不仅要关注其业务的投资吸引力,还要确保其活动的高度透明度和安全性,

    通过对加密货币创业公司的多年研究和网络安全评估,我们建议他们采取以下措施:

    ·遵循智能合约开发者的最佳安全实践

    ·使用经过验证的智能合约框架(例如https://openzeppelin.org/)

    ·对智能合约进行第三方评估,确保没有遗漏任何内容

    ·为所有员工引入基础安全意识培训,确保他们能够更好地分辨钓鱼攻击企图

    ·监控智能合约执行环境中的新出现的漏洞

    卡巴斯基实验室大中华区总经理郑启良讲到“采用这些措施,加密货币企业不仅能够更有效地保护自己,还能为潜在投资者提供透明度和安心感。NOBOBOX就是这样的一个成功案例。这家位于列支敦斯登的公司开发了一种利用加密货币购物的平台,在推出其初始令牌销售(ITS)之前,他们找到我们并要求我们检查其智能合约。经过评估,证明其智能合约制作严谨,又符合最佳安全实践。但是,对所附白皮书的审查揭示了代码中的几个严重性较低的不符合之处。我们向他们提供了一封包含详细分析和建议的报告,NOBOBOX在令牌销售启动之前,修复了这些问题,从而消除了投资者的风险。”

  • 加入收藏
  • [ 作者: ]
  • 分享到: 更多
    标签:
  • 相关推荐
    无相关信息
  • 最新消息
    · 卡巴斯基:黑客如何让ICO面临风险2019-04-29
    · FLOW福禄三款新品上市——套装只售99!2019-04-29
    · 大鱼降世 详解三星CRG9玄龙骑士显示器DNA2019-04-29
    · 主流SaaS云客服系统测评之呼叫中心2019-04-29
    · 汇丰娱乐棋牌代理怎么做?总代ej64642019-04-29
      已有条评论,查看更多评伦发表评论
  • 用户名:  密码:              匿名发表  | 注册会员
  • 网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述