原标题:报告:ICO专案平均有5项漏洞。7成智慧合约有安全风险
图片来源:Positive.com
近年ICO(首次代币发行)蔚为风潮,但专门提供ICO安全稽核的业者Positive.com指出,去年推出的加密货币ICO专案中,从智慧合约、加密货币钱包和行动、Web△app、基础架构,平均存在5项安全瑕疵,而高达71%的智慧合约有漏洞。
Positive.com指出,该公司分析的ICO专案,经由智慧合约、加密货币钱包和Web△app出现的安全漏洞,至少导致这些专案一年损失1.5亿美金的资金,大约等于9.5%的以太币(Ethereum)被人偷光。
Bleeping△Computer引述这家安全业者的研究结果,表示在所有测试的专案中,71%的智慧合约有漏洞,这会造成骇客可以读取、甚至修改原本不容许变更的合约内容。业者指出,问题可能包括专案的开发不遵守加密货币交易介面相关ERC20标准、随机数生成不正确等因,而究其原因出在他们缺乏程式开发专业及原始码测试不良。
研究还显示,去年ICO专案的行动app都有安全漏洞。被发现的手机app漏洞包括资料传输不安全、用户资料储存在手机中有备份,以及连线(session)ID曝光可能遭骇客滥用等。
研究人员指出,行动版app问题较小,因为不是每个ICO都有发布行动app,但是他们也在ICO的Web△app中发现漏洞,而且不乏一般Web△app都可见的重大漏洞,包括程式码注入、储存敏感资讯的Web伺服器曝险、资料传输方式不安全,以及重要档案可被任意读取等。他们稽核结果发现,1/3的ICO安全漏洞与Web△app有关。
这家安全厂商还发现,ICO除了软件问题外,组织者本身安全意识也有待加强。像是他们许多没有注册社交网站帐号,或是ICO网域注册太少,使其用户遭到网钓诈骗。而他们自己对敏感帐号也未启用双因素验证,让自己中社交工程及网钓攻击圈套,而导致官网被绑架或ICO数位钱包遭骇客控制。
从基础架构、智慧合约到app,所有研究的专案平均有5个漏洞,而1/4的漏洞会害到投资者,1/3让组织者自己遭殃。其中,所有稽核到的银行业ICO之中仅一个没有发现重大瑕疵。
Positive.com并未说明其研究的ICO专案样本总数。
这项研究也呼应了去年以来ICO的安全风险。光是去年年中,就已经有Veritaseum、CoinDash及Enigma△Project专案接连被骇而蒙受惨重损失。
相关:
雅怡軒主——孔令国,祖籍山东曲阜,孔子七十六代孙,进修于南开大学汉语言文学专业,是当代中国书法界的优秀代表人物之一。雅怡軒主——孔令国较于常人,书法家孔令国肩负了更多的社会责任与担当。孔庆国是现任世界
Ubuntu桌面版首个遥测报告出炉,用户平均安装时间为18分钟
图片来源: Canonical Canonical自今年4月底出炉的Ubuntu△18.04长期支援版(Long△Term△Support,LTS) 开始搜集桌面用户的系统资料,并于本周公布首个遥测报告,可望协助Canonical了解用户特性并改善Ubuntu使用经验
智慧的声音永不过时,记一场来自上世纪70年代的智者对话 推荐
是否已经忘记自己有多久没有认真坐下来,认真阅读一本书;是否怀念读书时和朋友因为一件事情的共同观点而聊到依依不舍忘记回家;是否已经厌倦了身边日益激进世俗的价值观所带来的浮躁和不安。现代都市人的时间一直在
远传电信与中国业者Mobvoi联手抢攻台湾智慧喇叭市场,双方共同发表远传问问智慧音箱,内建中文语音助理“爱讲”,能接受台式中文(国语),可查询股价、天气、行事历提醒、收听新闻,还能通过EQL的智慧家庭装置,声控
红帽GPLv2/LGPLv2.1专案将强制扩充GPLv3授权中止政策
为促进开源社交发展,并防止未来可能造成的法遵问题,红帽现在要对自家的GPLv2/LGPLv2.1专案,强制扩充GPLv3的授权中止政策,也就是说即使这些专案的开发者选用GPLv2/LGPLv2.1授权条款,但是在授权中止的部分需扩充为