На рынке ICO есть мошенники. С этим фактом сложно спорить. Комиссия по ценным бумагам и биржам США (SEC) даже запустила фиктивное ICO, чтобы показать потенциальным инвесторам, как их могут обмануть и на какие вещи нужно обращать внимание. Методов много. Например, можно взломать сайт и подменить номер кошелька. Или заняться фишингом в Telegram, где почти у каждого из проектов есть свои чаты с инвесторами. По оценкам экспертов, в 2017 году хакеры могли украсть подобным образом $300 млн.
Портфельная компания ФРИИ Metascan, специализирующаяся на кибербезопасности, проверила, насколько защищены ICO-проекты от хакеров, мошенников и недобросовестных конкурентов. Всего был оценен 91 проект с русскоязычными основателями, но Metascan будет и дальше в режиме реального времени изучать новые проекты.
Полностью отвечают критериям безопасности только 5 проектов из 91 — это всего 5,5% от общего числа проектов. Большинство проектов, проводя ICO, заводят чаты в мессенджере Telegram, где общаются с потенциальными инвесторами. Почти у половины проектов (48%) в этих чатах присутствуют мошенники. Еще у 41% проектов есть уязвимости в лендингах, а это значает, что существует угроза взлома сайта и замены адреса кошелька для сбора средств. С защитой от DDoS дела лучше. Уязвимы к таким атакам только 11% проектов. Кроме того, исследование показало, что большинство проектов, проводящих ICO, не имеют собственных сотрудников, специализирующихся в кибербезопасности, и не пользуются услугами сторонних специалистов по безопасности (Security Advisor) — их нет у 78% проектов.
Весь рейтинг можно посмотреть на сайте Metascan
Почему плохая защищенность ICO-проектов — это проблема? Август 2018-го: хакеры похитили данные 261 000 пользователей криптовалютной инвестиционной платформы Atlas Quantum — имена, номера телефонов, адреса почты, балансы. Июль 2017-го: проект CoinDash не досчитался $7 млн после старта ICO из-за того, что хакеры подменили номер криптокошелька на сайте. Август 2017-го: хакеры сделали фейковую рассылку от лица основателя проекта Enigma и собрали около $500 000. И это далеко не все случаи.
Зачем нужен этот рейтинг?
Для инвесторов — это возможность посмотреть, насколько серьезно команда подошла к своему проекту, оценить риски от вложения в то или иное ICO. Как показывает опыт Metascan, между защищенность проекта и его сборами есть прямая корреляция. Те проекты, у которых большие сборы, проводят аудит своих сайтов, у них есть эдвайзеры по безопасности, аудит кода, WAF или IPS.
Для предпринимателей — это возможность увидеть прорехи в безопасности своих проектов. «Создатели проектов могут исправить уязвимости и недоработки самостоятельно или прибегнуть к нашей помощи. Мы будем оперативно обновлять рейтинг по мере исправления ошибок у проектов», — говорит основатель Metascan Давид Ордян.
Для экосистемы. Подобный рейтинг уменьшит количество скам-проектов, а это, в свою очередь, положительно повлияет на экосистему ICO в целом и на рост и ценность криптовалют.
Если вам интересны технические подробности того, как именно проводились проверки, то подробности описаны ниже. А если вам лень вникать в технические нюансы, то отправьте ссылку вашему CTO.
Как составлялся рейтинг?
В нынешнюю редакцию рейтинг попали только ICO-проекты с русскоязычными основателями. Найти сайты проектов и их описания — не сложно, есть много ресурсов со списками готовящихся или уже идущих ICO. Проекты сами заинтересованы в том, чтобы о них узнали. Metascan мониторит списки ICO постоянно, в месяц появляется около 150 новых проектов.
Каждый проект проверялся по четырем параметрам:
Наличие советника по безопасности или собственного специалиста. Такую информацию проекты публикуют на сайте и в своем Whitepaper в разделе о команде.
Устойчивость сайта к DDoS-атакам. Абсолютную гарантию того, что сайт проекта устойчив к DDoS-атакам, можно дать только после проведения стресс-теста. Но по этическим соображениям подобные тесты без согласования никогда не проводятся. Уязвимость к DDoS-атаке выявляется эвристически по наличию признаков каких-либо защитных механизмов. Metascan проверял этот параметр по наличию CDN и систем фильтрации трафика, вроде Cloudflare, Qrator, Imperva. Фильтрация трафика может осуществляется хостинг-провайдером, и снаружи это определить нельзя, тогда в этом пункте может быть неточность. Если проекты обнаружили такую неточность в рейтинге, то они могут написать в Metascan.
Наличие уязвимостей в веб-приложении. Один из продуктов Metascan — сканер уязвимостей. Им может воспользоваться самостоятельно любой владелец сайта по адресу metascan.ru. С помощью него и сканировались лендинги проектов. Правда, в Metascan обращают внимание, что эта проверка показывает только лежащие на поверхности уязвимости. Пентест или более глубокий анализ позволяет обнаружить полный спектр уязвимостей или убедиться в их отсутствии. Но более глубокий аудит требует согласования с администраторами ресурсов.
Наличие мошенников в Telegram-чате проекта. Как работают мошенники? Они притворяются членами команды ICO, пишут инвесторам личные сообщения и предлагают переслать деньги на их кошелек для получения токенов с большой скидкой. Именно из-за того, что они общаются с инвесторами тет-а-тет, мошенников нет смысла блокировать в общем чате ICO. Потери от действий мошенников составляют примерно 5 ETH за каждый день краудсейла. При этом мошенники мониторят появление новых ICO и заранее создают аккаунты, имитирующие аккаунты основателей проектов и администраторов групп.
Что с подобным мошенничеством делает Metascan? Команда разработала инструменты и механики, которые позволяют выявлять таких мошенников. Metascan собирает данные об используемых кошельках, местонахождении и оборудовании злоумышленника. После этого их аккаунты удаляются навсегда, а номера банятся: Metascan — одна из немногих, если не единственная компания, которая оказывает услуги не только по обнаружению мошеннических аккаунтов, но и по их удалению из мессенджера Telegram.
В публичном списке уже 124 мошеннических криптокошелька, а в базе антифрод-системы Metascan собрано более 1500 уникальных Telegram-аккаунтов, использовавшихся для мошенничества в сфере ICO.
Большинство злоумышленников «живёт» в Нигерии, работают с мобильных устройств. 43% всех мошенников обманывают инвесторов с iPhone, а 57% скамеров пользуются телефонами на базе Android, предпочитая 4 и 7 версии этой ОС.
Вот пример реального кейса борьбы с Telegram-мошенниками:
По одному из клиентов во время маркетинговой кампании резко увеличились масштабы фрода. Если до её запуска мы обнаруживали и удаляли одного-двух в день, то после одновременно появлялось несколько десятков аккаунтов, притворяющихся членами команды проекта в Telegram.
По каждому мы оперативно предпринимали меры, фиксируя данные и удаляя. Бывало, что упорный мошенник регистрировал новые аккаунты, но после 3-5 удалений сдавался и уходил. Кроме того, постоянно были поддельные письма от организаторов, фейковые формы регистрации в Google, фишинговая реклама. Круглые сутки мы занимались реагированием и удалением мошеннического контента.
В результате за время противодействия фишинговой компании было удалено 36 аккаунтов мошенников. Разделегировано 3 домена. Заблокированы 1 рекламная компания в AdWords и 2 фишинговые формы в Google Forms.