Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Почему необходимо защищать ICO
Главные зоны риска для ICO, которые можно и нужно проверять перед продажей токенов.
Среди поклонников блокчейна распространено довольно наивное убеждение, что код, подкрепленный этой технологией, самодостаточен. «Код — это закон», утверждают они. К сожалению, это утверждение не выдержало проверку временем. К примеру, уязвимость в смарт-контракте DAO в какой-то момент привела к хардфорку в блокчейне Ethereum — появлению Ethereum Classic. Подобное случалось не раз с разными блокчейн-платформами.
Ошибками в коде дело не ограничивается. С точки зрения защиты информации блокчейн-системы, в том числе узлы и кошельки, — это просто ПО. И люди, которые им пользуются, склонны попадаться на приемы социальной инженерии. Какие-то проблемы, как, например, фишинг для кражи криптовалюты из кошельков, решает защитное ПО на стороне потребителя. Правда, оно никак не поможет от мошенников, которые обещают сотни процентов прибыли, а затем исчезают.
Для стартапов ICO (initial coin offering, первичное размещение токенов) остается популярным методом для сбора средств. Но мошенничество, в отличие от курса криптовалют, не пошло на спад. Самый яркий пример — уязвимости в Parity Wallet, которые вылились в потери Ethereum на 30 млн долларов и блокировку токенов на 154 млн долларов из-за удаления данных из блокчейн-системы.
Дальше было только хуже. В 2018 году с криптобирж и из кошельков было украдено около 950 млн долларов, еще 750 млн долларов сгорели из-за мошеннических ICO и продаж токенов, взломов бирж и других схем. Неудивительно, что регулирующие органы не смогли оставить эту сферу без внимания. Позиция финансовых ведомств, таких как Комиссия по ценным бумагам и биржам США, сводится к тому, что токены (особенно те, что подразумевают получение прибыли от стартапа, который организовал их продажу) нужно считать ценными бумагами — со всеми вытекающими обстоятельствами, включая уголовное преследование в случае, если инвесторов, то есть покупателей токенов, надуют. То же справедливо и для STO (secondary token offering, вторичного размещения токенов). Так что, если вы обдумываете продажу токенов как способ усилить свой бизнес, мы рекомендуем относиться к этой затее как к выпуску ценных бумаг. В частности, подумать о защите.
Четыре основные зоны риска при продаже токенов — это уязвимости смарт-контрактов, ошибки персонала, фишинговые атаки на покупателей и безопасность операций.
Уязвимости смарт-контрактов
Небрежность авторов смарт-контрактов просто неописуема. Несколько лет назад в этих программах находили в шесть раз больше багов, чем в коммерческих продуктах.
Мы уже более 20 лет тестируем приложения на безопасность, и проверка смарт-контрактов очень похожа на этот процесс. Иногда все даже проще, потому что перед компиляцией смарт-контракты пишут на скриптовых языках. Большая часть самых распространенных ошибок в коде смарт-контрактов уже давно известна разработчикам обычного коммерческого ПО. К примеру, рекурсивные вызовы, которые привели к угону смарт-контрактов DAO и последующему хардфорку Ethereum, или некорректный контроль доступа в Parity Wallet — обе проблемы считаются ошибками новичков в мире инфобезопасности.
Чтобы найти изъяны в коде, порой нужно внимание и наметанный глаз, так что не стесняйтесь попросить эксперта, чтобы он оценил ваш смарт-контракт перед тем, как вы отправите его на блокчейн-платформу, — откатиться для поправок не получится.
Ошибки персонала
Вы, наверное, ждете привычную лекцию о том, что люди — самое слабое звено в системе кибербезопасности. Но я хочу поговорить о другом. Превратить сотрудников в «живой брандмауэр» можно, если сосредоточить усилия на улучшении цифровой гигиены. Мы видели, как после наших тренингов в некоторых организациях число инцидентов падало на 90%.
Фишинговые атаки
Слава никогда не приходит одна — и как только ваш ICO наберет обороты, ждите нашествия фишеров, мечтающих увести деньги ваших клиентов. Порой фишинговые сайты появляются даже раньше официальных. И хотя закрыть страницы, которые охотятся за покупателями ваших токенов, сложно, вы можете обнаружить их и оповестить нынешних и будущих инвесторов. Согласитесь, добрая слава лучше дурной.
Безопасность операций
Для компаний, работающих на рынке ценных бумаг, способность реагировать на инциденты — не роскошь, а необходимость, как и соответствующий инструктаж персонала. Можно откладывать эти вопросы в долгий ящик и думать, что вы разберетесь с ними позже, если этого потребуют очередные нормативные требования. Однако укрепление киберзащиты должно происходить по принципу «когда», а не «если». При этом важно иметь в виду, что, даже если вы не информированы об инциденте, он мог уже произойти. Такой подход полезен со многих точек зрения, и если сегодня вы благодаря ему укрепите свою репутацию среди инвесторов (вы же помните, что спасаете их от потерь?), то завтра он спасет вас от штрафов и, возможно, уголовного преследования.
Узнайте больше о наших решениях для ICO и STO.
Источник: Лаборатория Касперского
04.07.2020