Investigadores: Las OIC del año pasado tuvieron cinco vulnerabilidades de seguridad en promedio

Cryptocurrencies

Los investigadores de seguridad han encontrado, en promedio, cinco fallas de seguridad en cada criptomoneda ICO ( oferta inicial de monedas ) celebrada el año pasado. Solo una OIC celebrada en 2017 no contenía defectos críticos.

Según Positive.com, una firma de seguridad especializada en auditorías de seguridad de ICO, la mayoría de las vulnerabilidades que encontraron, descubrieron en los contratos inteligentes en la base del ICO.

“El 71% de los proyectos probados contenía vulnerabilidades en los contratos inteligentes, el corazón y el alma de un ICO”, dijo la compañía. “Una vez que se inicia un ICO, el contrato no se puede cambiar y está abierto a todos, lo que significa que cualquiera puede verlo y buscar fallas”.

“Típicamente, estos consistirían en el incumplimiento del estándar ERC20 (la interfaz de tokens para monederos digitales e intercambios de criptomonedas), la generación incorrecta de números aleatorios y el alcance incorrecto, entre otros”, dicen los expertos de Positive.com. “En general, estas vulnerabilidades ocurren debido a la falta de experiencia del programador y a la insuficiencia de las pruebas del código fuente”.

Todas las aplicaciones móviles de ICO eran vulnerables

Los investigadores también dicen que todas las aplicaciones móviles que los organizadores de ICO lanzaron en 2017 contenían fallas de seguridad. La buena noticia es que no todos los organizadores de ICO lanzaron aplicaciones móviles, pero los que sí lo hicieron no invirtieron para protegerse de los ataques.

El equipo de Positive.com dice que identificó más vulnerabilidades en las aplicaciones móviles de ICO que en las aplicaciones web oficiales de ICO.

Los expertos dicen que los defectos más comunes en las aplicaciones móviles son el uso de métodos de transferencia de datos inseguros, el almacenamiento de datos de usuario en las copias de seguridad del teléfono y la divulgación de ID de sesión que un atacante podría capturar y usar contra el usuario.

“Estos defectos pueden ser útiles para obtener detalles sobre un proyecto, sus organizadores e inversores, lo que provoca el uso de atacantes en los ataques posteriores”, dijo Positive.com.

Un tercio de los defectos de seguridad de ICO se encontraban en las aplicaciones web de ICO

Pero los investigadores de seguridad también encontraron errores de seguridad en las aplicaciones web que algunos organizadores de ICO lanzaron para que los usuarios pudieran colocar fondos y obtener tokens ICO.

Estas aplicaciones eran vulnerables a los mismos tipos de defectos. Todas las aplicaciones web son vulnerables: inyección de código, divulgación de información sensible del servidor web, transferencia de datos insegura y lectura de archivos arbitraria.

Positive.com dijo que la mitad de las auditorías de seguridad que realizaron el año pasado revelaron vulnerabilidades en las aplicaciones web de ICO, y un tercio de todas las fallas de seguridad relacionadas con ICO vinculadas a la aplicación web de ICO.

Organizadores Sloppy ICO

En otros lugares, los investigadores encontraron que los defectos de seguridad son los propios inversores de ICO y la infraestructura de la red troncal de ICO.

Los investigadores argumentan que los organizadores de ICO a menudo no registraron cuentas de redes sociales para sus proyectos, y tampoco registraron todas las versiones de un dominio de ICO, lo que expone a los usuarios a ataques de phishing y de ingeniería social.

Por último, los organizadores de ICO a menudo no permitieron la autenticación de dos factores para cuentas confidenciales, fallando en ingeniería social y ataques de phishing que resultaron en ladrones secuestrando sitios web oficiales de ICO o ganando el control de billeteras donde el ICO almacenaba los fondos recaudados.

Resultados de Positive.com

Con más de $ 5 mil millones invertidos en ICO en 2017 y con la Comisión de Bolsa y Valores de Estados Unidos (SEC) tomando medidas enérgicas contra los organizadores de ICO , es hora de que los organizadores de ICO se alejen de su enfoque amateur en sus negocios e inviertan más en seguridad cibernética para prevenir hackers secuestrando sus fondos duramente ganados.

Positive.com lanzó estas cifras cuando lanzó ChainWatch a la versión beta pública. ChainWatch es una plataforma para analizar y monitorear la seguridad de ICO y alertar a los organizadores de ICO sobre posibles ataques.

Un estudio previo también encontró que el 81% de las OIC recientes eran estafas , lo que podría explicar por qué la mayoría de los organizadores de ICO no se preocupaban por la seguridad.

Lee mas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.