為什麼ICO這麼容易被黑?
這個夏天的新聞不時穿插著各種“首次公開募幣( ICO)”的欺詐和駭客事件打斷。
(ICO,即向想投資新興區塊鏈相關公司的人發行權杖或加密貨幣的初創公司募款活動。)
7月中旬,名為CoinDash的一家初創公司在其ICO期間損失了700萬美元,因為一名駭客將投資人打錢的位址給改了,資金流向了某惡意電子錢包而不是CoinDash。數天后,
隨著ICO的激增,無論是依賴ICO籌錢的初創公司,還是大多為普通互聯網用戶的投資者,都面臨很大的風險,他們可能會損失數百萬美元。國內前不久的ICO禁令,更是令加密貨幣的價格大跌,一時間風聲鶴唳。
從安全角度來談ICO
2013年起,ICO便融合了傳統風投資本(VC)融資輪和眾籌的方式,
ICO在去年風行度暴增,但就像其他任何新興的無監管金融機制一樣,ICO也是不成熟、有風險的陌生領域。持有ICO的初創公司,未必準備好面對他們的募資可能面臨的暴露面,而很多支持者也是ICO新手,甚至只是普通投資的新手。
Adobe產品經理,共同創建了Dogecoin加密貨幣的傑克森·帕爾馬稱:“這些ICO目標遠大。攻擊者手握ICO推出日程及目標融資額,毫不令人意外。ICO向一群毫無經驗的人打開了融資的大門,而這些人未必知道怎麼進行良好的資訊安全操作。且投資人也是極度缺乏經驗的。這根本是拿人們錢財打水漂的一場完美風暴。
保護錢包
當然,不是所有的ICO都會被黑,很多初創公司能夠控制損失,甚或成功保護自身及其投資人不被騙。
但被攻擊很快成為了ICO的常態。
公司企業紛紛報告自家籌資網站遭到DDoS攻擊,他們的Slack頻道被操縱來推出虛假錢包地址,甚至連處理加密貨幣交易的後端過程都遭到攻擊。
上周的一份致投資人的聲明中,加密貨幣平臺Kickico首席執行官安提·達尼勒夫斯基,
Kickico應從中學到一些經驗教訓,因為該平臺計畫將輔助其他公司的ICO納入其服務之中。該公司已擴展了其安全預防措施,如今正通過執行滲透測試和獨立審計,以提升其系統和網站的安全性。
線上的錢很多,隨著ICO進入主流,這些錢將越來越多地來自未必瞭解加密貨幣的普通人,甚至連普通投資都未接觸過的人。當菜場大媽都告訴你通過ICO投資什麼東西的時候,這種機制就開始感覺像是一個安全又主流的選擇了。
8月,區塊鏈分析公司Chainalysis報告稱,過去幾年,ICO吸引到了16億美元的投資,而網路罪犯在去年從中吸走了大約10%。數字貨幣市場總市值如今超過900億美元。
雖然有些ICO是通過實際的漏洞利用和其他駭客方法被竊的,罪犯進行ICO詐騙的最常用方法,卻依然是社會工程。騙子利用網路釣魚和社交媒體操縱,偽裝成合法的ICO管理員,在網上向潛在投資者散佈虛假資訊,貼出虛假的充錢位址,甚至謊稱有ICO要進行。
Enigma詐騙案中,攻擊者黑掉了該公司的官方網站、Slack頻道和郵寄清單,發送看起來合法的特別預售資訊,謊稱可令有意向的投資者提前入場ICO。而實際上,騙子們只是在流轉處於他們控制之下的一個虛假錢包,最終從中提錢。Enigma首席執行官蓋伊·傑斯坎得上月稱,“儘管路上有顛簸,我們依然肩負打造有趣事物的使命。”
傑斯坎得稱,下周其真正ICO之後,Enigma將回饋資金給被騙的准投資者。但不是所有的公司都會負起其ICO相關詐騙的責任。有些ICO本身可能就是假的——空殼公司假稱要融資,但實際上只是不負任何責任地把錢漏給罪犯而已。
政府進場
美國證監會(SEC)已開始探索該問題,特別是未註冊ICO是否構成非法證券發行方面。SCE對加密貨幣平臺“分權自治組織(DAO)”2016年ICO的調查確定,DAO權杖屬於有價證券,DAO應作為證券交易所登記備案——SEC未來可施行的指南。當然,DAO吸引人們關注的地方,不僅僅因為它是該概念尚屬新潮時的早期ICO,還因為駭客利用其中漏洞致使投資人損失了5000萬美元。
然而,該SEC指南,遠算不上對自由放任的ICO的一個即時解決方案,該機構似乎特別關注ICO詐騙對散戶的影響。有些國家和地區,比如新加坡和香港,同樣關注ICO並考慮採取監管——特別針對洗錢問題;而中國則在本周宣佈全面禁止ICO。但是,因為投機者持續湧向這些線上投資,新型詐騙層出不窮。上周,SEC發佈了關於該問題的一份新投資人警報(https://www.sec.gov/oiea/investor-alerts-and-bulletins/ia_icorelatedclaims)。
SEC分散式帳簿技術工作組組長瓦勒瑞·斯澤潘尼克稱:“我們不監管技術,我們監管涉及證券的技術的實現和執行。ICO代表著新形式的資本形成方式和投資人介面,隨之而來的自然是新的風險。合法活動仍在繼續,但任何頻頻見諸報端的事物,都是騙子的餌料。我們關注可能對投資人造成傷害的那些領域。”
目前,無論初創公司還是投資人,都應該謹慎邁向ICO。人們擔心會趕不上趟,於是各種項目紛紛上馬,急於推出,想搶在市場做出某種修正之前撈錢。沒有做太多盡職調查,必然會出現突破口。
有些人認為這波ICO狂熱是個泡沫,另一些人則覺得ICO有可能成長為籌資的穩定管道。追逐ICO的初創公司必須關注安全防禦,准投資人需要小心謹慎。
以提升其系統和網站的安全性。線上的錢很多,隨著ICO進入主流,這些錢將越來越多地來自未必瞭解加密貨幣的普通人,甚至連普通投資都未接觸過的人。當菜場大媽都告訴你通過ICO投資什麼東西的時候,這種機制就開始感覺像是一個安全又主流的選擇了。
8月,區塊鏈分析公司Chainalysis報告稱,過去幾年,ICO吸引到了16億美元的投資,而網路罪犯在去年從中吸走了大約10%。數字貨幣市場總市值如今超過900億美元。
雖然有些ICO是通過實際的漏洞利用和其他駭客方法被竊的,罪犯進行ICO詐騙的最常用方法,卻依然是社會工程。騙子利用網路釣魚和社交媒體操縱,偽裝成合法的ICO管理員,在網上向潛在投資者散佈虛假資訊,貼出虛假的充錢位址,甚至謊稱有ICO要進行。
Enigma詐騙案中,攻擊者黑掉了該公司的官方網站、Slack頻道和郵寄清單,發送看起來合法的特別預售資訊,謊稱可令有意向的投資者提前入場ICO。而實際上,騙子們只是在流轉處於他們控制之下的一個虛假錢包,最終從中提錢。Enigma首席執行官蓋伊·傑斯坎得上月稱,“儘管路上有顛簸,我們依然肩負打造有趣事物的使命。”
傑斯坎得稱,下周其真正ICO之後,Enigma將回饋資金給被騙的准投資者。但不是所有的公司都會負起其ICO相關詐騙的責任。有些ICO本身可能就是假的——空殼公司假稱要融資,但實際上只是不負任何責任地把錢漏給罪犯而已。
政府進場
美國證監會(SEC)已開始探索該問題,特別是未註冊ICO是否構成非法證券發行方面。SCE對加密貨幣平臺“分權自治組織(DAO)”2016年ICO的調查確定,DAO權杖屬於有價證券,DAO應作為證券交易所登記備案——SEC未來可施行的指南。當然,DAO吸引人們關注的地方,不僅僅因為它是該概念尚屬新潮時的早期ICO,還因為駭客利用其中漏洞致使投資人損失了5000萬美元。
然而,該SEC指南,遠算不上對自由放任的ICO的一個即時解決方案,該機構似乎特別關注ICO詐騙對散戶的影響。有些國家和地區,比如新加坡和香港,同樣關注ICO並考慮採取監管——特別針對洗錢問題;而中國則在本周宣佈全面禁止ICO。但是,因為投機者持續湧向這些線上投資,新型詐騙層出不窮。上周,SEC發佈了關於該問題的一份新投資人警報(https://www.sec.gov/oiea/investor-alerts-and-bulletins/ia_icorelatedclaims)。
SEC分散式帳簿技術工作組組長瓦勒瑞·斯澤潘尼克稱:“我們不監管技術,我們監管涉及證券的技術的實現和執行。ICO代表著新形式的資本形成方式和投資人介面,隨之而來的自然是新的風險。合法活動仍在繼續,但任何頻頻見諸報端的事物,都是騙子的餌料。我們關注可能對投資人造成傷害的那些領域。”
目前,無論初創公司還是投資人,都應該謹慎邁向ICO。人們擔心會趕不上趟,於是各種項目紛紛上馬,急於推出,想搶在市場做出某種修正之前撈錢。沒有做太多盡職調查,必然會出現突破口。
有些人認為這波ICO狂熱是個泡沫,另一些人則覺得ICO有可能成長為籌資的穩定管道。追逐ICO的初創公司必須關注安全防禦,准投資人需要小心謹慎。