Startup-ul caută să împiedice hackerii să fure fonduri ICO

Ofertele inițiale de monede (ICO) sunt în prezent afaceri mari în domeniul cripto. Cu peste 1,2 miliarde de dolari strânși în acestea doar în 2017, potrivit firmei de analiză a tehnologiei financiare Autonom NEXT, ar fi sigur să presupunem că ICO-urile se descurcă foarte bine în ceea ce privește strângerea de fonduri de la comunitatea criptomonedelor.

ICO-urile deținute în blockchain-ul Ethereum, cu asistență din funcția sa de contract inteligent, au primit multă atenție în ultimul timp, eveniment care funcționează în paralel cu creșterea prețului Ethereum. Modul în care funcționează un ICO, în termeni simpli, ar fi descris prin câteva acțiuni. Dezvoltatorii prezintă mai întâi o idee și oferă potențialilor investitori o adresă Ethereum legată de un contract inteligent. Apoi, utilizatorii Ethereum care trimit Ether la acea adresă sunt recompensați cu un simbol ERC-20 pentru participarea la contractul inteligent ICO.

Datorită sumei de bani primite de ICO-uri, acestea nu au fost lăsate în pace de părțile cu intenții rău intenționate. Procesul descris mai sus înseamnă că, cu excepția cazului în care dezvoltatorii nu găsesc o modalitate de a difuza în siguranță adresele lor de contract inteligente către lume, banii ar putea ajunge să fie direcționați către terțe părți rău intenționate după un atac de tip phishing.

Așa s-a întâmplat cu CoinDash, un nou startup care a deținut recent o ofertă inițială de monede. Hackerii au reușit cumva să obțină acces în backend-ul site-ului CoinDash și au schimbat adresa potențialilor investitori pentru a-și trimite fondurile. Acest truc simplu a exploatat investitorii și s-a încheiat Ether în valoare de 10 milioane de dolari furat. Aceasta înseamnă că mai mult de jumătate din procedurile ridicate pentru Coindash au ajuns în mâinile hackerilor.

Nu este chiar prima dată când utilizatorii Ethereum sunt afectați de un furt major în procesul de vânzare a unui token. Anul trecut, DAO hack-ul care a apărut ca rezultat al vulnerabilităților contractului său inteligent a fost cel mai mare jaf de criptocurrency, cu pierderi de Ether în valoare de milioane. Hackerii au ajuns să dețină atât de multe monede încât, în cele din urmă, a rezultat într-o forță dură a blockchain-ului Ethereum într-un efort de a economisi fonduri pentru investitori.

De atunci, a existat o anumită standardizare a modului în care sunt deținute ICO-urile și o nouă documentație îi ajută pe dezvoltatori să știe cum să gestioneze mai bine emiterea de jetoane. După DAO, vulnerabilitățile din codul de contract inteligent au fost atenuate într-un grad mai bun, dar deseori este cea mai slabă verigă care este atacată.

Cu condiția ca strângerea de bani să pună public eforturile dezvoltatorilor pe ecran public, se adaugă doar la presiunea de a stabili o procedură întreagă pentru a strânge bani de la publicul larg într-un mod distribuit. Din fericire, detaliile trecute cu vederea care au condus la furtul ICO al CoinDash sunt ușor acoperite cu măsuri de precauție simple.

Într-o postare recentă pe blog, pornirea, Enigmă, care va găzdui și un ICO în curând, a descris cele mai bune practici preferate pentru vânzările de jetoane Ethereum. Se recunoaște că problema – în general – provine din centralizare. În cazul CoinDash, utilizatorii au fost nevoiți să aibă încredere într-o singură sursă centrală unde să își trimită fondurile pentru vânzarea simbolurilor, site-ul lor web. Acest lucru plasează o țintă mare în ceea ce privește ceea ce a ajuns să fie cea mai slabă verigă din această vânzare de token.

Enigma subliniază că dovada adresei trebuie să fie standardizat, iar o singură sursă pentru verificarea adresei de vânzare a simbolurilor nu este suficientă. Propunerea lor este de a utiliza un mediu care utilizează identități din lumea reală (cum ar fi twitter) printr-un contract inteligent în blockchain-ul Ethereum pentru verificarea identității.

Așa cum este descris în postarea de pe blog, acest contract inteligent ar avea adresa de finanțare codificată greu la crearea sa, marcându-l semnat primind tranzacții de la părțile solicitate. Partidele menționate sunt setate să fie membri de încredere ai comunității Ethereum și identitatea lor ar fi legată de o adresă blockchain prin intermediul tweet-urilor publice. Această semnare asigură contractul inteligent într-un stil cu mai multe semnături și îngreunează în mod prohibitiv atacatorii să schimbe adresa de finanțare.

Enigma a subliniat, de asemenea, că parolele securizate și bunele practici de parolă pe conturile de socializare sunt măsuri suplimentare pe care dezvoltatorii de Oferte inițiale de monede ar trebui să le ia foarte în serios, întrucât este doar un alt loc pe care hackerii l-ar putea folosi pentru a pretinde că sunt dezvoltatorii unei vânzări de jetoane pentru a redirecționa finanțarea.

În cele din urmă, într-un efort de a ajuta comunitatea, Enigma a declarat că după ce a terminat dezvoltarea lor dovada adresei contract, vor deschide sursa. Un astfel de instrument ar fi deosebit de util pentru a face față unor astfel de atacuri în viitor și pentru a standardiza o procedură mai sigură pentru strângerea de fonduri în blockchain-ul Ethereum, prin strângerea unei alte verigi slabe potențiale din proces. Aprovizionarea deschisă a contractului ar permite, de asemenea, altor părți să-și revizuiască codul și să îl îmbunătățească sau să îl adapteze pentru nevoile lor de a asigura alte proiecte.