Ошибками в коде дело не ограничивается. С точки зрения защиты информации блокчейн-системы, в том числе узлы и кошельки, — это просто ПО. И люди, которые им пользуются, склонны попадаться на приемы социальной инженерии. Какие-то проблемы, как, например, фишинг для кражи криптовалюты из кошельков, решает защитное ПО на стороне потребителя. Правда, оно никак не поможет от мошенников, которые обещают сотни процентов прибыли, а затем исчезают.
Для стартапов ICO (initial coin offering, первичное размещение токенов) остается популярным методом для сбора средств. Но мошенничество, в отличие от курса криптовалют, не пошло на спад. Самый яркий пример — уязвимости в Parity Wallet, которые вылились в потери Ethereum на 30 млн долларов и блокировку токенов на 154 млн долларов из-за удаления данных из блокчейн-системы.
Дальше было только хуже. В 2018 году с криптобирж и из кошельков было украдено около 950 млн долларов, еще 750 млн долларов сгорели из-за мошеннических ICO и продаж токенов, взломов бирж и других схем. Неудивительно, что регулирующие органы не смогли оставить эту сферу без внимания. Позиция финансовых ведомств, таких как Комиссия по ценным бумагам и биржам США, сводится к тому, что токены (особенно те, что подразумевают получение прибыли от стартапа, который организовал их продажу) нужно считать ценными бумагами — со всеми вытекающими обстоятельствами, включая уголовное преследование в случае, если инвесторов, то есть покупателей токенов, надуют. То же справедливо и для STO (secondary token offering, вторичного размещения токенов). Так что, если вы обдумываете продажу токенов как способ усилить свой бизнес, мы рекомендуем относиться к этой затее как к выпуску ценных бумаг. В частности, подумать о защите.
Четыре основные зоны риска при продаже токенов — это уязвимости смарт-контрактов, ошибки персонала, фишинговые атаки на покупателей и безопасность операций.
Уязвимости смарт-контрактов
Небрежность авторов смарт-контрактов просто неописуема. Несколько лет назад в этих программах находили в шесть раз больше багов, чем в коммерческих продуктах.
Мы уже более 20 лет тестируем приложения на безопасность, и проверка смарт-контрактов очень похожа на этот процесс. Иногда все даже проще, потому что перед компиляцией смарт-контракты пишут на скриптовых языках. Большая часть самых распространенных ошибок в коде смарт-контрактов уже давно известна разработчикам обычного коммерческого ПО. К примеру, рекурсивные вызовы, которые привели к угону смарт-контрактов DAO и последующему хардфорку Ethereum, или некорректный контроль доступа в Parity Wallet — обе проблемы считаются ошибками новичков в мире инфобезопасности.
Чтобы найти изъяны в коде, порой нужно внимание и наметанный глаз, так что не стесняйтесь попросить эксперта, чтобы он оценил ваш смарт-контракт перед тем, как вы отправите его на блокчейн-платформу, — откатиться для поправок не получится.
Ошибки персонала
Вы, наверное, ждете привычную лекцию о том, что люди — самое слабое звено в системе кибербезопасности. Но я хочу поговорить о другом. Превратить сотрудников в « живой брандмауэр » можно, если сосредоточить усилия на улучшении цифровой гигиены. Мы видели, как после наших тренингов в некоторых организациях число инцидентов падало на 90%.
Фишинговые атаки
Слава никогда не приходит одна — и как только ваш ICO наберет обороты, ждите нашествия фишеров, мечтающих увести деньги ваших клиентов. Порой фишинговые сайты появляются даже раньше официальных. И хотя закрыть страницы, которые охотятся за покупателями ваших токенов, сложно, вы можете обнаружить их и оповестить нынешних и будущих инвесторов. Согласитесь, добрая слава лучше дурной.
Безопасность операций
Для компаний, работающих на рынке ценных бумаг, способность реагировать на инциденты — не роскошь, а необходимость, как и соответствующий инструктаж персонала. Можно откладывать эти вопросы в долгий ящик и думать, что вы разберетесь с ними позже, если этого потребуют очередные нормативные требования. Однако укрепление киберзащиты должно происходить по принципу «когда», а не «если». При этом важно иметь в виду, что, даже если вы не информированы об инциденте, он мог уже произойти. Такой подход полезен со многих точек зрения, и если сегодня вы благодаря ему укрепите свою репутацию среди инвесторов (вы же помните, что спасаете их от потерь?), то завтра он спасет вас от штрафов и, возможно, уголовного преследования.
Узнайте больше о наших решениях для ICO и STO .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
“Qaror chiqqan kundan to‘lovni boshlayman” – Munira Kariyeva tovon pulini qoplab berish borasida so‘zida turishini ma’lum qildi.
14 iyun kuni “Dok-1 Maks” ishi bo‘yicha davom etgan apellyatsiya sudida Sardor Kariyevning onasi Munira Kariyeva shaxsan ishtirok etib,...
-
O‘zbekiston va Janubiy Koreya rahbarlari Toshkentdagi muzokaralar yakunlarini yuqori baholadi.
O‘zbekiston prezidenti Shavkat Mirziyoyev va Janubiy Koreya prezidenti Yun Sok Yol ommaviy axborot vositalari vakillari uchun bayonot berdi. .
-
Toshkent va Dehli o‘rtasida parvozlar soni oshiriladi.
Avgust oyidan O‘zbekiston poytaxti va Hindiston poytaxti o‘rtasida har kuni parvoz qilish mumkin bo‘ladi. .
-
“Prezident zamonaviyroq va dunyoga yanada bog‘langan davlat qurmoqchi” – AQSh Savdo vakili.
11-12 iyun kunlari AQSh Savdo vakili Ketrin Tay O‘zbekistonda bo‘lib, qator rasmiylar, xususan, prezident Shavkat Mirziyoyev bilan ham uchrashdi....
-
Спалетти: "Қаҳрамонлар футболдан қўрқмайдилар"
Италия терма жамоаси бош мураббийи Луцано Спалетти Европа чемпионати олдидан жамоаси ортиқча босим остида эмаслигини айтди.
-
Yevro-2024 tanishtiruvi: Portugaliya va Belgiya guruhlaridagi jamoalar, tarkiblar va o‘yinlar taqvimi.
E guruhida Belgiya va Ukraina, F guruhida Portugaliya va Turkiya favorit..