報告:ICO專案平均有5項漏洞,約7成智慧合約有安全風險

報告:ICO專案平均有5項漏洞,約7成智慧合約有安全風險 在所有測試的專案中,71%的智慧合約有漏洞,使駭客可以讀取、竄改原本不容許變更的合約內容,原因包括專案未遵守加密貨幣交易介面相關ERC20標準、隨機數生成不正確等因。 文/林妍溱 | 2018-06-26發表 圖片來源: Positive.com 近年ICO(首次代幣發行)蔚為風潮,但專門提供ICO安全稽核的業者Positive.com指出,去年推出的加密貨幣ICO專案中,從智慧合約、加密貨幣錢包和行動、Web app、基礎架構,平均存在5項安全瑕疵,而高達71%的智慧合約有漏洞。Positive.com指出,該公司分析的ICO專案,經由智慧合約、加密貨幣錢包和Web app出現的安全漏洞,至少導致這些專案一年損失1.5億美金的資金,大約等於9.5%的以太幣(Ethereum)被人偷光。Bleeping Computer引述這家安全業者的研究結果,表示在所有測試的專案中,71%的智慧合約有漏洞,這會造成駭客可以讀取、甚至修改原本不容許變更的合約內容。業者指出,問題可能包括專案的開發不遵守加密貨幣交易介面相關ERC20標準、隨機數生成不正確等因,而究其原因出在他們缺乏程式開發專業及原始碼測試不良。研究還顯示,去年ICO專案的行動app都有安全漏洞。被發現的手機app漏洞包括資料傳輸不安全、用戶資料儲存在手機中有備份,以及連線(session)ID曝光可能遭駭客濫用等。研究人員指出,行動版app問題較小,因為不是每個ICO都有發佈行動app,但是他們也在ICO的Web app中發現漏洞,而且不乏一般Web app都可見的重大漏洞,包括程式碼注入、儲存敏感資訊的Web伺服器曝險、資料傳輸方式不安全,以及重要檔案可被任意讀取等。他們稽核結果發現,1/3的ICO安全漏洞與Web app有關。這家安全廠商還發現,ICO除了軟體問題外,組織者本身安全意識也有待加強。像是他們許多沒有註冊社交網站帳號,或是ICO網域註冊太少,使其用戶遭到網釣詐騙。而他們自己對敏感帳號也未啟用雙因素驗證,讓自己中社交工程及網釣攻擊圈套,而導致官網被綁架或ICO數位錢包遭駭客控制。從基礎架構、智慧合約到app,所有研究的專案平均有5個漏洞,而1/4的漏洞會害到投資者,1/3讓組織者自己遭殃。其中,所有稽核到的銀行業ICO之中僅一個沒有發現重大瑕疵。Positive.com並未說明其研究的ICO專案樣本總數。這項研究也呼應了去年以來ICO的安全風險。光是去年年中,就已經有Veritaseum、CoinDash及Enigma Project專案接連被駭而蒙受慘重損失。 iThome Security

更多訊息更多資料都在這裡喔!~關鍵字排名~GOOGLE排名~保健食品~蜂王漿~芙婷寶~健康食品~蜂王乳~PPLS~智勝王~超視王~磷蝦油~台灣綠蜂膠~網站排名~南極冰洋磷蝦油~SEO~維力康~神經滋養物質~葉黃素

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *