La startup che cerca di impedire agli hacker di rubare fondi ICO

Le Initial Coin Offerings (ICO) sono attualmente un grande business nella crittografia. Con oltre $ 1,2 miliardi raccolti nel solo 2017, secondo la società di analisi delle tecnologie finanziarie NEXT autonomo, sarebbe lecito ritenere che gli ICO stiano andando molto bene in termini di raccolta di fondi dalla comunità delle criptovalute.

Gli ICO tenuti nella blockchain di Ethereum, con l’assistenza della sua funzione di contratto intelligente, hanno ricevuto molta attenzione ultimamente, un evento che funziona alla pari con l’aumento dei prezzi di Ethereum. Il modo in cui funziona un ICO, in termini semplici, sarebbe descritto da alcune azioni. Gli sviluppatori presentano prima un’idea e forniscono ai potenziali investitori un indirizzo Ethereum collegato a uno smart contract. Quindi, gli utenti di Ethereum che inviano Ether a quell’indirizzo vengono ricompensati con un token ERC-20 per aver partecipato allo smart contract ICO.

A causa della quantità di denaro che gli ICO ricevono, non sono stati lasciati soli da parti con intenzioni dannose. Il processo sopra descritto significa che, a meno che gli sviluppatori non trovino un modo per trasmettere i loro indirizzi di contratti intelligenti in modo sicuro al mondo, il denaro potrebbe finire per essere incanalato a terze parti dannose dopo un attacco in stile phishing.

Questo è quello che è successo a CoinDash, una nuova startup che ha recentemente tenuto un’offerta iniziale di monete. Gli hacker in qualche modo sono riusciti a ottenere l’accesso nel back-end del sito Web di CoinDash e hanno cambiato l’indirizzo a cui i potenziali investitori sono stati inviati per inviare i loro fondi. Questo semplice trucco ha sfruttato gli investitori e si è concluso con Ether per un valore di $ 10 milioni rubato. Ciò significa che più della metà dei procedimenti aperti per Coindash è finita nelle mani degli hacker.

Questa non è davvero la prima volta che gli utenti di Ethereum vengono colpiti da un grave furto nel processo di una vendita di token. L’anno scorso, Il DAO L’hack che è derivato dalle vulnerabilità nel suo contratto intelligente è stata la più grande rapina di criptovaluta con milioni di Ether persi. Gli hacker hanno finito per impossessarsi di così tante monete che alla fine si è trattato di un hard fork della blockchain di Ethereum nel tentativo di salvare i fondi degli investitori.

Da quel momento, c’è stata una certa standardizzazione nel modo in cui si tengono gli ICO e la nuova documentazione sta aiutando gli sviluppatori a sapere come gestire meglio l’emissione di token. Dopo Il DAO, le vulnerabilità nel codice degli smart contract sono state mitigate in misura migliore, ma spesso è l’anello più debole che viene attaccato.

A condizione che la raccolta di denaro pubblicamente metta in mostra gli sforzi degli sviluppatori, si aggiunge semplicemente alla pressione di impostare un’intera procedura per raccogliere denaro dal pubblico in modo distribuito. Per fortuna, il dettaglio trascurato che ha portato al furto di ICO di CoinDash è facilmente coperto con semplici precauzioni.

In un recente post sul blog, l’avvio, Enigma, che presto ospiterà anche un ICO, ha descritto le loro migliori pratiche preferite per le vendite di token Ethereum. Si riconosce che il problema -in generale- deriva dalla centralizzazione. Nel caso di CoinDash, gli utenti dovevano fidarsi di un’unica fonte centrale a cui inviare i loro fondi per la vendita di token, il loro sito web. Ciò pone un grande bersaglio su quello che è finito per essere l’anello più debole in questa vendita di token.

Enigma lo fa notare prova di indirizzo deve essere standardizzato e un’unica fonte per verificare l’indirizzo di vendita del token non è sufficiente. La loro proposta è quella di utilizzare un mezzo che utilizzi identità del mondo reale (come Twitter) attraverso uno smart contract nella blockchain di Ethereum per la verifica dell’identità.

Come descritto nel post del blog, questo contratto intelligente avrebbe l’indirizzo di finanziamento codificato nella sua creazione, contrassegnandolo come firmato ricevendo le transazioni dalle parti richieste. Dette parti sono impostate per essere membri fidati della comunità di Ethereum e la loro identità sarebbe legata a un indirizzo blockchain tramite tweet pubblici. Questa firma protegge il contratto intelligente in uno stile multi-firma e rende proibitivamente più difficile per gli aggressori cambiare l’indirizzo di finanziamento.

Enigma ha anche sottolineato che password sicure e buone pratiche di password sugli account dei social media sono misure aggiuntive che gli sviluppatori di Initial Coin Offerings dovrebbero prendere molto sul serio poiché è solo un altro luogo che gli hacker potrebbero utilizzare per fingere di essere gli sviluppatori di una vendita di token al fine di reindirizzare i finanziamenti.

Infine, nel tentativo di aiutare la comunità, Enigma ha dichiarato che dopo aver terminato lo sviluppo del proprio prova di indirizzo contratto, lo renderanno open source. Un tale strumento sarebbe particolarmente utile per affrontare tali attacchi in futuro e standardizzare una procedura più sicura per la raccolta di fondi nella blockchain di Ethereum schiacciando un altro potenziale anello debole nel processo. L’open sourcing del contratto consentirebbe anche ad altre parti di rivedere il suo codice e migliorarlo o adattarlo alle loro esigenze per garantire altri progetti.