Opstarten, der ønsker at forhindre hackere i at stjæle ICO-midler

Initial Coin Offerings (ICO’er) er i øjeblikket stor forretning inden for krypto. Med over 1,2 mia. Dollars samlet i dem gennem 2017 alene ifølge det finansielle teknologianalysefirma Autonom NÆSTE, det ville være sikkert at antage, at ICO’er klarer sig meget godt med hensyn til at skaffe midler fra kryptokurrency-samfundet.

ICO’er, der afholdes i Ethereums blockchain, har med bistand fra dens smarte kontraktfunktion fået meget opmærksomhed på det seneste, en begivenhed, der fungerer i lighed med Ethereums prisstigning. Den måde, en ICO fungerer på, i enkle vendinger, vil blive beskrevet med et par handlinger. Udviklere præsenterer først en idé og giver potentielle investorer en Ethereum-adresse knyttet til en smart kontrakt. Derefter belønnes Ethereum-brugere, der sender Ether til den adresse, med et ERC-20-token for at deltage i ICOs smarte kontrakt.

På grund af den mængde penge ICO modtager igennem, er de ikke blevet alene af parter med ondsindede intentioner. Den ovenfor beskrevne proces betyder, at medmindre udviklere finder en måde at sende deres smarte kontraktadresser sikkert til verden, kan penge ende med at blive tragt til ondsindede tredjeparter efter et phishing-angreb.

Dette er, hvad der skete med CoinDash, en ny opstart, der for nylig havde et første møntudbud. Hackere formåede på en eller anden måde at få adgang i backend på CoinDashs websted og ændrede adressen, som potentielle investorer blev sendt til at sende deres midler til. Dette enkle trick udnyttede investorerne og endte med 10 millioner dollars i Ether stjålet. Dette betyder, at mere end halvdelen af ​​proceduren for Coindash havnede i hackernes hænder.

Dette er virkelig ikke første gang Ethereum-brugere rammes af et stort tyveri i processen med et token-salg. Sidste år, DAO hack, der kom som et resultat i sårbarheder i sin smarte kontrakt, var den største kryptokurrency med millioner af Ether tabt. Hackere endte med at få fat på så mange mønter, at det i sidste ende resulterede i en hård gaffel af Ethereums blockchain i et forsøg på at spare investormidler.

Siden den tid har der været en vis standardisering af, hvordan ICO’er holdes, og ny dokumentation hjælper udviklere med at vide, hvordan de bedre håndterer udstedelse af token. Efter DAO, sårbarheder i smart kontraktkode er blevet mildnet i højere grad, men det er ofte det svageste led, der bliver angrebet.

Forudsat at indsamling af penge offentligt sætter udvikleres indsats på offentlig visning, tilføjer det bare presset med at etablere en hel procedure for at rejse penge fra offentligheden på en distribueret måde. Heldigvis er den oversete detalje, der førte til CoinDashs ICO-tyveri, let dækket med enkle forholdsregler.

I et nylig blogindlæg opstart, Enigma, der også snart er vært for en ICO, beskrev deres foretrukne bedste praksis for Ethereum-token-salg. Det erkendes, at problemet – generelt set stammer fra centralisering. I CoinDashs tilfælde måtte brugerne stole på en enkelt, central kilde til, hvor de skulle sende deres midler til for token-salget, deres hjemmeside. Dette sætter et stort bulls eye mål for, hvad der endte med at være det svageste led i dette toksalg.

Enigma påpeger det bevis for adresse skal standardiseres, og en enkelt kilde til verificering af token-salgsadressen er ikke nok. Deres forslag er at bruge et medium, der bruger den virkelige verdens identiteter (som twitter) gennem en smart kontrakt i Ethereums blockchain til identitetsbekræftelse.

Som beskrevet i blogindlægget ville denne smarte kontrakt have finansieringsadressen hårdkodet ved oprettelsen og markere den underskrevet ved at modtage transaktioner fra de krævede parter. De nævnte parter er indstillet til at være pålidelige medlemmer af Ethereum-samfundet, og deres identitet vil være bundet til en blockchain-adresse gennem offentlige tweets. Denne underskrift sikrer den smarte kontrakt på en multi-signatur-måde og gør det uoverkommeligt sværere for angribere at skifte finansieringsadresse.

Enigma fremhævede også, at sikre adgangskoder og god adgangskodepraksis på sociale mediekonti er yderligere foranstaltninger, udviklere af Initial Coin Offerings bør tage meget alvorligt, da det bare er et andet sted, hackere kan bruge til at foregive at være udviklerne af et token-salg for at omdirigere finansiering..

Endelig, i et forsøg på at hjælpe samfundet, Enigma erklærede, at efter afsluttet udvikling af deres bevis for adresse kontrakt, vil de åbne kildekoden. Et sådant værktøj ville være særligt nyttigt til at håndtere sådanne angreb i fremtiden og standardisere en mere sikker procedure til at skaffe midler i Ethereums blockchain ved at presse et andet potentielt svagt led i processen. Den åbne sourcing af kontrakten vil også gøre det muligt for andre parter at gennemgå dens kode og forbedre eller tilpasse den til deres behov for at sikre andre projekter.