Startup se snaží zabránit hackerům v krádeži fondů ICO

Initial Coin Offerings (ICO) are currently big business in crypto. Podle analytické společnosti s finančními technologiemi se v nich v průběhu roku 2017 podařilo získat více než 1,2 miliardy dolarů Autonomní DALŠÍ, dalo by se bezpečně předpokládat, že ICO jsou na tom velmi dobře, pokud jde o získávání finančních prostředků od komunity kryptoměn.

ICO držené v blockchainu Ethereum, s pomocí funkce inteligentního kontraktu, dostávají v poslední době velkou pozornost, což je událost, která funguje stejně jako růst cen Ethereum. Způsob, jakým ICO funguje, jednoduše řečeno, by byl popsán několika akcemi. Vývojáři nejprve představí nápad a poskytnou potenciálním investorům adresu Etherea spojenou s inteligentní smlouvou. Poté jsou uživatelé Ethereum, kteří posílají Ether na tuto adresu, odměněni tokenem ERC-20 za účast na inteligentní smlouvě ICO.

Vzhledem k množství peněz, které ICO dostávají prostřednictvím, nezůstaly jen osamoceny stranami se zákeřnými úmysly. Výše popsaný proces znamená, že pokud vývojáři nenajdou způsob, jak bezpečně vysílat své adresy inteligentních smluv do světa, peníze by po útoku phishingového stylu mohly být převedeny na škodlivé třetí strany.

To se stalo CoinDashu, novému startupu, který nedávno uspořádal počáteční nabídku mincí. Hackerům se nějak podařilo získat přístup v backendu webu CoinDash a změnili adresu, na kterou byli posíláni potenciální investoři, aby poslali své prostředky. Tento jednoduchý trik využil investory a skončil Ether v hodnotě 10 milionů dolarů ukradený. To znamená, že více než polovina řízení zahájených pro Coindash skončila v rukou hackerů.

Není to vůbec poprvé, kdy dojde k krádeži uživatelů Ethereum v procesu prodeje tokenů. Minulý rok, DAO hack, který vyústil ve zranitelnosti jeho inteligentní smlouvy, byl největší loupež v kryptoměně se ztraceným etherem v hodnotě milionů. Hackeři nakonec získali tolik mincí, že to nakonec vedlo k tvrdé vidličce blockchainu Ethereum ve snaze zachránit investiční prostředky.

Od té doby došlo k určité standardizaci způsobu, jakým se ICO konají, a nová dokumentace pomáhá vývojářům vědět, jak lépe zacházet s vydáváním tokenů. Po DAO, chyby v kódu inteligentního kontraktu byly zmírněny ve větší míře, ale je to často nejslabší článek, který je napaden.

Za předpokladu, že získávání peněz veřejně vystavuje úsilí vývojářů na veřejnosti, jen zvyšuje tlak na nastavení celého postupu pro získávání peněz od široké veřejnosti distribuovaným způsobem. Naštěstí přehlížený detail, který vedl ke krádeži ICO společnosti CoinDash, lze snadno zakrýt jednoduchými opatřeními.

V nedávném blogovém příspěvku spuštění, Hádanka, který bude brzy také hostit ICO, popsal jejich preferované nejlepší postupy pro prodej tokenů Ethereum. Uznává se, že problém obecně vychází z centralizace. V případě společnosti CoinDash museli uživatelé důvěřovat jedinému centrálnímu zdroji, kam poslat své prostředky na prodej tokenů, tedy na jejich web. To staví velký terč býků na to, co skončilo jako nejslabší článek v tomto prodeji tokenů.

Enigma na to poukazuje důkaz adresy je třeba standardizovat a jediný zdroj pro ověření prodejní adresy tokenu nestačí. Jejich návrh spočívá v použití média, které využívá identity reálného světa (například twitter) prostřednictvím chytré smlouvy v blockchainu Ethereum pro ověření identity.

Jak je popsáno v příspěvku na blogu, tato chytrá smlouva by měla při vytváření pevně zakódovanou adresu financování, která by byla podepsána přijímáním transakcí od požadovaných stran. Uvedené strany mají být důvěryhodnými členy komunity Ethereum a jejich identita by byla prostřednictvím veřejných tweetů spojena s blockchainovou adresou. Toto podepsání zajišťuje inteligentní smlouvu způsobem s více podpisy a útočníkům je neúměrně obtížnější změnit adresu financování.

Enigma také zdůraznila, že bezpečná hesla a dobré postupy při používání hesel na účtech sociálních médií jsou další opatření, která by vývojáři Initial Coin Offerings měli brát velmi vážně, protože je to jen další místo, které by hackeři mohli využít k předstírání, že jsou vývojáři prodeje tokenů, aby mohli přesměrovat financování.

Nakonec ve snaze pomoci komunitě Enigma uvedla, že po dokončení vývoje jejich důkaz adresy smlouvu, chystají se ji otevřít. Takový nástroj by byl obzvláště užitečný při řešení takových útoků v budoucnu a standardizaci bezpečnějšího postupu pro získávání finančních prostředků v blockchainu Ethereum tím, že se v procesu zmáčkne další potenciální slabý článek. Otevřený zdroj smlouvy by také umožnil dalším stranám přezkoumat její kód a vylepšit jej nebo přizpůsobit jeho potřebám pro zajištění dalších projektů.