Es gibt Betrüger auf dem ICO-Markt. Es ist schwierig, mit dieser Tatsache zu argumentieren. Die US-amerikanische Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) hat sogar einen
fiktiven ICO ins Leben gerufen, um potenziellen Anlegern zu zeigen, wie sie ausgetrickst werden können und worauf zu achten ist. Es gibt viele Methoden. Sie können beispielsweise eine Site hacken und die Brieftaschennummer ändern. Oder Phishing in Telegram, wo fast jedes Projekt seine eigenen Chats mit Investoren hat. Laut Experten könnten Hacker 2017 auf diese Weise 300 Millionen Dollar stehlen.
Das auf Cybersicherheit spezialisierte IIDF-Portfoliounternehmen Metascan hat geprüft, wie ICO-Projekte vor Hackern, Betrügern und skrupellosen Wettbewerbern geschützt sind. Insgesamt wurden 91 Projekte mit russischsprachigen Gründern evaluiert, aber Metascan wird weiterhin neue Projekte in Echtzeit untersuchen.
Nur 5 von 91 Projekten erfüllen die Sicherheitskriterien vollständig - dies sind nur 5,5% der Gesamtzahl der Projekte. Die meisten Projekte, die ICOs durchführen, starten Chats im Telegram Messenger, wo sie mit potenziellen Investoren kommunizieren. Fast die Hälfte der Projekte (48%) hat Betrüger in diesen Chats. Weitere 41% der Projekte weisen Schwachstellen in Zielseiten auf, was bedeutet, dass die Gefahr besteht, die Website zu hacken und die Brieftaschenadresse für das Sammeln von Spenden zu ersetzen. Mit dem DDoS-Schutz sind die Dinge besser. Nur 11% der Projekte sind für solche Angriffe anfällig. Darüber hinaus hat die Studie gezeigt, dass die meisten ICO-Projekte keine eigenen Mitarbeiter haben, die auf Cybersicherheit spezialisiert sind, und nicht die Dienste von Sicherheitsexperten von Drittanbietern in Anspruch nehmen (78% der Projekte haben diese nicht).
Warum ist die schlechte Sicherheit von ICO-Projekten ein Problem? August 2018: Hacker haben
die Daten von 261.000 Benutzern der Atlas Quantum-Plattform für Kryptowährungsinvestitionen
gestohlen - Namen, Telefonnummern, E-Mail-Adressen, Guthaben. Juli 2017: Das CoinDash-Projekt erhielt nach dem Start des ICO keine 7 Millionen US-Dollar, da Hacker die Nummer der Krypto-Brieftasche auf der Website geändert haben. August 2017: Hacker haben im Auftrag des Gründers des Enigma-Projekts ein gefälschtes Mailing durchgeführt und etwa 500.000 US-Dollar gesammelt. Dies ist bei weitem nicht der Fall.
Warum wird diese Bewertung benötigt?
Für Investoren ist dies eine Gelegenheit zu sehen, wie ernst das Team mit ihrem Projekt umgegangen ist, um die Risiken einer Investition in ein bestimmtes ICO zu bewerten. Wie die Erfahrung von Metascan zeigt, besteht ein direkter Zusammenhang zwischen der Sicherheit eines Projekts und seinen Gebühren. Projekte mit hohen Gebühren prüfen ihre Standorte, sie haben Sicherheitsberater, Codeprüfungen, WAF oder IPS.
Für Unternehmer ist dies eine Gelegenheit, Sicherheitslücken in ihren Projekten zu erkennen. „Projektersteller können Schwachstellen und Fehler selbst beheben oder auf unsere Hilfe zurückgreifen. Wir werden die Bewertung umgehend aktualisieren, wenn wir die Fehler der Projekte korrigieren “, sagt David Ordyan, Gründer von Metascan.
Für das Ökosystem. Eine solche Bewertung wird die Anzahl der Betrugsprojekte verringern, was sich wiederum positiv auf das ICO-Ökosystem insgesamt sowie auf das Wachstum und den Wert von Kryptowährungen auswirkt.
Wenn Sie an den technischen Details der Durchführung der Überprüfungen interessiert sind, werden die Details unten beschrieben. Und wenn Sie zu faul sind, um sich mit den technischen Nuancen zu befassen,
senden Sie den Link an Ihren CTO.Wie wurde das Rating zusammengestellt?
In die aktuelle Ausgabe des Ratings wurden nur ICO-Projekte mit russischsprachigen Gründern aufgenommen. Das Auffinden von Projektstandorten und deren Beschreibungen ist nicht schwierig. Es gibt viele Ressourcen mit Listen anstehender oder laufender ICOs. Die Projekte selbst sind daran interessiert, etwas über sie zu lernen. Metascan überwacht ständig die ICO-Listen. Pro Monat erscheinen etwa 150 neue Projekte.
Jedes Projekt wurde auf vier Parameter überprüft:Anwesenheit eines Sicherheitsberaters oder eines eigenen Spezialisten. Projekte veröffentlichen solche Informationen auf der Website und in ihrem Whitepaper im Abschnitt über das Team.
Standortresistenz gegen DDoS-Angriffe. Eine absolute Garantie dafür, dass der Projektstandort gegen DDoS-Angriffe resistent ist, kann erst nach einem Stresstest gegeben werden. Aus ethischen Gründen werden solche Tests jedoch niemals ohne Genehmigung durchgeführt. Die Anfälligkeit für einen DDoS-Angriff wird heuristisch durch das Vorhandensein von Anzeichen von Schutzmechanismen erkannt. Metascan überprüfte diesen Parameter auf das Vorhandensein von CDN- und Verkehrsfiltersystemen wie Cloudflare, Qrator, Imperva. Die Verkehrsfilterung kann vom Hosting-Anbieter durchgeführt werden und kann nicht von außen bestimmt werden. In diesem Absatz liegt möglicherweise eine Ungenauigkeit vor. Wenn die Projekte eine solche Ungenauigkeit in der Bewertung festgestellt haben, können sie an Metascan schreiben.
Das Vorhandensein von Sicherheitslücken in der Webanwendung. Eines der Produkte von Metascan ist ein Schwachstellenscanner. Jeder Eigentümer der Website bei metascan.ru kann sie unabhängig verwenden. Damit wurden die Landing Pages von Projekten gescannt. Beachten Sie jedoch in Metascan, dass bei dieser Überprüfung nur Schwachstellen angezeigt werden, die auf einer Oberfläche liegen. Mit einer Pentest- oder eingehenderen Analyse können Sie die gesamte Bandbreite der Schwachstellen erkennen oder deren Abwesenheit überprüfen. Eine eingehendere Prüfung erfordert jedoch eine Abstimmung mit den Ressourcenadministratoren.
Die Anwesenheit von Betrügern im Telegramm-Chat des Projekts. Wie funktionieren Betrüger? Sie geben vor, Mitglieder des ICO-Teams zu sein, schreiben persönliche Nachrichten an Investoren und bieten an, Geld an ihre Brieftasche zu senden, um Token mit einem großen Rabatt zu erhalten. Gerade weil sie von Angesicht zu Angesicht mit Investoren kommunizieren, macht es für Betrüger keinen Sinn, ICOs im allgemeinen Chat zu blockieren. Die Verluste aus den Handlungen von Betrügern betragen ungefähr 5 ETH pro Crowdsale-Tag. Gleichzeitig überwachen Betrüger die Entstehung neuer ICOs und erstellen im Voraus Konten, die die Konten von Projektgründern und Gruppenadministratoren nachahmen.
Was macht Metascan mit solchem Betrug? Das Team hat Tools und Mechaniken entwickelt, mit denen solche Betrüger identifiziert werden können. Metascan sammelt Daten über die verwendeten Brieftaschen, den Standort und die Ausrüstung des Angreifers. Danach werden ihre Konten dauerhaft gelöscht und die Nummern gesperrt: Metascan ist eines der wenigen, wenn nicht das einzige Unternehmen, das Dienste nicht nur zur Erkennung betrügerischer Konten, sondern auch zum Entfernen aus dem Telegramm-Messenger bereitstellt.
Die
öffentliche Liste enthält bereits 124 betrügerische Krypto-Geldbörsen, und die Metascan-Datenbank für Betrugsbekämpfungssysteme enthält mehr als 1.500 eindeutige Telegrammkonten, die für ICO-Betrug verwendet werden.
Die meisten Angreifer „leben“ in Nigeria und arbeiten mit mobilen Geräten. 43% aller Betrüger betrügen iPhone-Investoren, und 57% der Betrüger verwenden Android-Telefone und bevorzugen die Versionen 4 und 7 dieses Betriebssystems.
Hier ist ein Beispiel für einen realen Fall gegen Telegrammbetrüger:Für einen der Kunden nahm der Betrug während der Marketingkampagne stark zu. Wenn wir vor dem Start ein oder zwei Konten pro Tag erkannt und gelöscht haben, wurden Dutzende von Konten gleichzeitig angezeigt und gaben vor, Mitglieder des Projektteams in Telegram zu sein.
Für jeden haben wir umgehend Maßnahmen ergriffen, Daten aufgezeichnet und gelöscht. Früher registrierte ein hartnäckiger Betrüger neue Konten, aber nach 3-5 Löschungen gab er auf und ging. Darüber hinaus gab es ständig gefälschte Briefe der Organisatoren, gefälschte Registrierungsformulare bei Google und Phishing-Anzeigen. Rund um die Uhr beschäftigten wir uns mit der Reaktion und Entfernung betrügerischer Inhalte.
Infolgedessen wurden während der Gegenaktion des Phishing-Unternehmens 36 Betrugskonten gelöscht. 3 Domains sind aufgeteilt. 1 Werbekampagne in AdWords und 2 Phishing-Formulare in Google Forms wurden blockiert.
Metascan Kontakte:
+7 495 152 1337
david.ordyan@metascan.ru
@david_ordyan (Telegramm)
Beispiel für die Korrespondenz mit Betrügern:
