Starten för att förhindra hackare från att stjäla ICO-medel

Initial Coin Offerings (ICO) är för närvarande stora affärer inom krypto. Med över 1,2 miljarder dollar samlade in dem genom hela 2017, enligt det finansiella teknikanalysföretaget Autonom NÄSTA, det skulle vara säkert att anta att ICO: er klarar sig mycket bra när det gäller att samla in pengar från kryptovalutasamhället.

ICO: er som hålls i Ethereums blockchain, med hjälp av dess smarta kontraktsfunktion, har fått mycket uppmärksamhet nyligen, en händelse som fungerar i linje med Ethereums prisökning. Det sätt som en ICO fungerar på ett enkelt sätt skulle beskrivas med några få åtgärder. Utvecklare presenterar först en idé och ger potentiella investerare en Ethereum-adress kopplad till ett smart kontrakt. Sedan belönas Ethereum-användare som skickar Ether till den adressen med en ERC-20-token för att delta i ICO: s smarta kontrakt.

På grund av hur mycket pengar ICO får igenom har de inte lämnats ensamma av parter med skadliga avsikter. Processen som beskrivs ovan innebär att om inte utvecklare hittar ett sätt att sända sina smarta kontraktsadresser säkert till världen, kan pengar sluta ledas till skadliga tredje parter efter en phishing-attack.

Detta är vad som hände med CoinDash, en ny start som nyligen innehade ett första mynterbjudande. Hackare lyckades på något sätt få tillgång i backend på CoinDashs webbplats och ändrade adressen som potentiella investerare skickades för att skicka sina medel till. Detta enkla trick utnyttjade investerarna och slutade i Ether till ett värde av 10 miljoner dollar stulen. Detta innebär att mer än hälften av förfarandena för Coindash hamnade i hackarnas händer.

Det här är verkligen inte första gången Ethereum-användare drabbas av ett stort stöld i samband med en token-försäljning heller. Förra året, DAO hack som kom till följd av sårbarheter i sitt smarta kontrakt var den största kryptovalutautrymmet med miljontals förlorade Ether. Hackare slutade få tag på så många mynt att det i slutändan resulterade i en hård gaffel av Ethereums blockchain i ett försök att spara investerares medel.

Sedan den tiden har det funnits en viss standardisering av hur ICO hålls och ny dokumentation hjälper utvecklare att veta hur de bättre hanterar tokenemissioner. Efter DAO, sårbarheter i smart kontraktskod har mildrats i bättre utsträckning, men det är ofta den svagaste länken som attackeras.

Förutsatt att det att samla in pengar offentligt sätter utvecklarnas ansträngningar på allmän visning, ökar det bara trycket att inrätta ett helt förfarande för att samla in pengar från allmänheten på ett distribuerat sätt. Tack och lov täcks den förbises detalj som ledde till CoinDashs ICO-stöld lätt med enkla försiktighetsåtgärder.

I ett nyligen publicerat blogginlägg, start, Gåta, som också kommer att vara värd för en ICO snart, beskrev deras föredragna bästa metoder för Ethereum-tokenförsäljning. Man inser att problemet – i allmänhet – härrör från centralisering. I CoinDashs fall måste användarna lita på en enda, central källa för var de ska skicka sina pengar till för token-försäljningen, deras webbplats. Detta sätter ett stort tjurfäktningsmål på vad som till slut blev den svagaste länken i denna tokenförsäljning.

Enigma påpekar det adressbevis måste standardiseras, och en enda källa för att verifiera token-försäljningsadressen räcker inte. Deras förslag är att använda ett medium som använder verkliga identiteter (som twitter) genom ett smart kontrakt i Ethereums blockchain för identitetsverifiering.

Som beskrivs i blogginlägget skulle detta smarta kontrakt ha finansieringsadressen hårdkodad när den skapades och markera den undertecknad genom att ta emot transaktioner från de nödvändiga parterna. Nämnda partier är inställda på att vara betrodda medlemmar av Ethereum-gemenskapen och deras identitet skulle knytas till en blockchain-adress genom offentliga tweets. Denna undertecknande säkerställer det smarta kontrakten på ett sätt med flera signaturer och gör det otroligt svårare för angripare att byta finansieringsadress.

Enigma betonade också att säkra lösenord och goda lösenordspraxis på sociala mediekonton är ytterligare åtgärder som utvecklare av Initial Coin Offerings borde ta på allvar eftersom det bara är en annan plats som hackare kan använda för att låtsas vara utvecklare av en token-försäljning för att omdirigera finansiering..

Slutligen, i ett försök att hjälpa samhället, uppgav Enigma att efter avslutad utveckling av deras adressbevis kommer de att öppna källkod. Ett sådant verktyg skulle vara särskilt användbart för att hantera sådana attacker i framtiden och standardisera ett säkrare förfarande för att samla in pengar i Ethereums blockchain genom att krossa en annan potentiell svag länk i processen. Den öppna upphandlingen av kontraktet skulle också göra det möjligt för andra parter att granska dess kod och förbättra eller anpassa den efter deras behov för att säkra andra projekt.