728x90

Блокчейн-евангелист, спикер ICO Event Moscow, Олег Кудренко ведает об тамошнем, а как обезопасить ICO и своё роль в ICO от хакерской атаки.

Любой десятый биткоин и телеэфир с ICO уводят мошенники

Согласно отчёту Chainalysis, десятая часть инвестиций в ICO достаётся жуликам. Коли взглянуть на самые нередкие предпосылки – фишинг и подмену заданных заправдашних хозяев корпораций на адреса собственных кошельков, – то выходит, чего же большая часть «инвесторов» мучается по собственной же глупости либо неосторожности.

Иногда мы запросто перестать можем отличить, кто взломал веб-сайт – хакеры либо сами устроители ICO. Большая часть из их, как досадно бы это не звучало, перестать чрезвычайно мудрено взломать. И, естественно, тупостью либо несистемным мышлением служащих/организаторов ICO вправду зачастую пользуются при взломах.

Однако основная сложность в альтернативном: коли от фишинговой атаки на теоретическом уровне можно уберечься, то оценить проект исходя из убеждений технической сохранности инвестору позарез мудрено. Коли перестать огласить – ничуть.

статистика киберпреступности

Единственное, чего же можно изготовить, – это же диверсифицировать. Притом всё: ICO, в кои вкладываете, кошельки кои используете, биржи, на которых торгуете. Внятное дело, чего же это же отнимет время и ресурсы – но же дозволит спасти вас в случае, коли хакеры отыщут уязвимость в вашем кошельке.

Пример уязвимости? Кушать фонд satoshi.fund. Его деньги можно существовало украсть с помощью уязвимости, отысканной взломщиками. Однако, к счастью, фонду подфартило: них денежки вывели для себя «белоснежные шапки» и позднее им же возвратили. Но пару недель они были в подвешенном состоянии и это же были перестать самые наилучшие недельки в них жизни. Однако кейсов много – кушать где покопаться.

Нападений будет все больше. Законы? Пфф…

Коли предсказывать на год-два вперёд, то количество нападений возрастет – настолько а как это же лёгкие денежки для взломщиков. Них просто вывести. А также возрастут эталоны защиты и решения по защите. Вероятно, на базар выйдут большие площадки, у каких будет все больше ресурсов для тамошнего, дабы учредить защиту и выступить а как какой-то обслуживание. За исключением тамошнего, на базар умеют выйти корпорации, кои сумеют страховать от взлома.

Чего касается законодательства, то оно перестать очень стращает взломщиков. Кушать регионы, кои развиваются в данной для нас плоскости. Иногда мы читаем статьи, а как ФБР (Федеральное бюро расследований — американское ведомство при министерстве юстиции США, подчиняется Генеральному прокурору) находит участников взломов двух- либо трёхлетней давности. Количество раскрытых киберпреступлений с течением времени будет расти. С иной стороны, наказание происходит перестать молниеносно, а с отсрочкой в несколько лет, настолько чего же это же развязывает взломщикам руки.

Людский фактор и работа с персоналом

Не так давно в процессе pre-ICO Enigma Catalyst злоумышленники похитили около 500 000 долларов, уведённых на неверный ETH-кошелек. Существовала задействована масштабная фишинговая атака на адреса служащих проекта. 

В сфере защиты инфы эталоны издавна выработаны – но мы обязаны осознавать, чего же ICO – это же «гаражные стартапы», и мы перестать все время можем возлагать, чего же эталоны будут соответствовать той самой скорости, с которой возникают проекты.

Однако некие меры всё-таки можно сделать, коли вы стартап и решили себя защитить от взломщиков. А как минимум – взглянуть, чего же просят для сертификации PCI DSS.

Чего ещё принципиально:

  • аннотация по приёму сотрудника, чек-лист;

  • аннотация по увольнению сотрудника, чек-лист;

  • сканирование открытых портов;

  • все внутренние ресурсы сквозь VPN на несуществующий домен;

  • внутренняя контролируемая почта;

  • сенситив-данные сквозь сенситив-каналы коммуникации: Xmpp + otr;

  • двухфакторная авторизация всюду;

  • ограничивать доступ к серверам и информацию об тамошнем, где присутствуют сервера;

  • прятать сервера, к примеру, за Cloudflare.

Помогает поставить себя на пространство взломщика и пошевелить мозгами: а как бы вы взломали своё ICO. Вероятно, настолько вы сами найдёте пару уязвимостей. Либо заплатить за аудит кода геймерам с доброй репутацией и пообещать приз тем самым, кто отыщет уязвимость.

Естественно, с каждым годом криптовалюты – а как Bitcoin, настолько и Ethereum, – стают всё наименее и наименее анонимными. Рано либо поздно монеты пройдут сквозь биржу и какого-то заядлого человека. Человека, коего спросят, откуда он брал эти монеты. Бытует несколько проектов, кои помогают выслеживать монеты, к примеру: chainalysis.com.

Жуткие северокорейские хакеры

Вот сейчас дискуссируется тематика взломщиков, типо состоящих на службе Северной Кореи. Них инкриминируют в хищении биткоинов в пользу северокорейского бюджета. СМИ (Средства массовой информации, масс-медиа — периодические печатные издания, радио-, теле- и видеопрограммы) докладывают, чего же с 2013 по 2015 год они каждый месяц крали биткоины на сумму возле 90 000 баксов у соседа – Южной Кореи.

Вне зависимости от взаимоотношения к таковым новостям, стоит ли аристократию об решении, которое может значительно понизить опасности. Это же внедрение прохладного хранилища. Прохладным хранилищем как правило именуют кошелёк, который перестать имеет доступа к Вебу (к примеру, аппаратный кошелек от trezor.io либо ledgerwallet.com), потому его намного труднее взломать, чем что-либо гораздо. Это же уже, можно огласить, эталон в области сохранности.

Для корпораций – можно порекомендовать задействовать кошельки, требующие двух-трех подписи для воплощения транзакций. Это же означает, чего же даже коли у единого из подписантов хакеры украдут ключ, они перестать сумеют увести денежки.  

Подробнее об сохранности при организации ICO и инвестировании будут гласить участники ICO Event Moscow 20 сентября. В качестве единого из спикеров Олег Кудренко скажет об новейшей парадигме инвестирования и краудфандинга.