В каждом проекте ICO есть по 5 «дыр». Чтобы их обокрасть, достаточно одной
Как отмечает в своем отчете Positive Technologies, в течение 2017 г. посредством ICO в мире было привлечено более $5 млрд инвестиций, причем 7% от этой суммы, то есть $300 млн, было похищено хакерами.
Атаки на организаторов
По данным Positive Technologies, треть организаторов ICO уязвимы для атаки. В частности, злоумышленник может получить доступ к электронному почтовому ящику, который используется организаторами для восстановления паролей от различных сервисов, в том числе домена и хостинга. Завладев доступом к этой почте, хакер сможет указать свой собственный кошелек в качестве места хранения собранных средств. Как пример этого метода эксперты Positive Technologies приводят атаку на Coindash.io, ущерб от которой составил $7 млн — в данном случае был изменен адрес Ethereum-кошелька.
Проблема усугубляется тем, что на сайтах ICO можно найти адреса электронной почты сотрудников, а также имена, фамилии и фото руководителей, которых затем легко вычислить в соцсетях. Информация из соцсетей позволяет определить логин почтового аккаунта и угадать ответы на контрольные вопросы для изменения пароля. Если для изменения пароля потребуется подтверждение с помощью SMS, хакер может просто купить детализацию входящих SMS абонента на черном рынке. В зависимости от оператора, детализация на месяц обойдется ему от 3 до 8 тыс. руб.