Il y a des escrocs sur le marché ICO. Il est difficile de contester ce fait. La Securities and Exchange Commission (SEC) des États-Unis a même lancé une
ICO fictive pour montrer aux investisseurs potentiels comment ils peuvent être trompés et à quoi il faut prêter attention. Il existe de nombreuses méthodes. Par exemple, vous pouvez pirater un site et modifier le numéro de portefeuille. Ou du phishing dans Telegram, où presque chaque projet a ses propres conversations avec les investisseurs. Selon
les experts, en 2017, les pirates pourraient ainsi voler 300 millions de dollars.
La société de portefeuille d'IIDF, Metascan, spécialisée dans la cybersécurité, a vérifié comment les projets ICO sont protégés contre les pirates, les escrocs et les concurrents sans scrupules. Au total, 91 projets avec des fondateurs russophones ont été évalués, mais Metascan continuera d'étudier de nouveaux projets en temps réel.
Seuls 5 des 91 projets satisfont pleinement aux critères de sécurité - cela ne représente que 5,5% du nombre total de projets. La plupart des projets, réalisant des ICO, commencent des chats dans le messager Telegram, où ils communiquent avec des investisseurs potentiels. Près de la moitié des projets (48%) ont des escrocs dans ces chats. Un autre 41% des projets présentent des vulnérabilités dans les pages de destination, ce qui signifie qu'il existe une menace de piratage du site et de remplacement de l'adresse du portefeuille pour la collecte de fonds. Avec la protection DDoS, les choses vont mieux. Seuls 11% des projets sont vulnérables à de telles attaques. De plus, l'étude a montré que la plupart des projets ICO n'ont pas leurs propres employés spécialisés dans la cybersécurité et n'utilisent pas les services d'experts en sécurité tiers (78% des projets n'en ont pas).
Pourquoi la mauvaise sécurité des projets ICO est-elle un problème? Août 2018: des pirates ont
volé les données de 261000 utilisateurs de la plateforme d'investissement de crypto-monnaie Atlas Quantum - noms, numéros de téléphone, adresses e-mail, soldes. Juillet 2017: le projet CoinDash n'a
pas reçu 7 millions de dollars après le début de l'ICO en raison du fait que les pirates ont changé le numéro du portefeuille crypto sur le site. Août 2017: des pirates ont fait un faux mail au nom du fondateur du projet Enigma et collecté environ 500 000 $, ce qui est loin d'être le cas.
Pourquoi cette cote est-elle nécessaire?
Pour les investisseurs , c'est l'occasion de voir avec quel sérieux l'équipe a abordé son projet, d'évaluer les risques d'investir dans une ICO particulière. Comme le montre l'expérience de Metascan, il existe une corrélation directe entre la sécurité d'un projet et ses honoraires. Ces projets qui ont des frais importants auditent leurs sites, ils ont des conseillers en sécurité, des audits de code, WAF ou IPS.
Pour les entrepreneurs , c'est l'occasion de voir des failles de sécurité dans leurs projets. «Les créateurs de projets peuvent corriger eux-mêmes les vulnérabilités et les failles ou recourir à notre aide. Nous mettrons à jour rapidement la note car nous corrigeons les erreurs des projets », explique le fondateur de Metascan, David Ordyan.
Pour l'écosystème. Une telle note réduira le nombre de projets d'escroquerie, ce qui, à son tour, affectera positivement l'écosystème ICO dans son ensemble et la croissance et la valeur des crypto-monnaies.
Si vous êtes intéressé par les détails techniques de la façon dont les contrôles ont été effectués, les détails sont décrits ci-dessous. Et si vous êtes trop paresseux pour vous plonger dans les nuances techniques,
envoyez le lien à votre CTO.Comment la notation a-t-elle été établie?
Seuls les projets ICO avec des fondateurs russophones ont été inclus dans l'édition actuelle de la note. Trouver des sites de projet et leurs descriptions n'est pas difficile, il existe de nombreuses ressources avec des listes d'ICO à venir ou déjà en cours. Les projets eux-mêmes souhaitent en savoir plus. Metascan surveille en permanence les listes d'ICO, environ 150 nouveaux projets apparaissent par mois.
Chaque projet a été vérifié sur quatre paramètres:Présence d'un conseiller à la sécurité ou d'un spécialiste. Les projets publient ces informations sur le site Web et dans leur livre blanc dans la section sur l'équipe.
Résistance du site aux attaques DDoS. Une garantie absolue que le site du projet est résistant aux attaques DDoS ne peut être donnée qu'après un test de résistance. Mais pour des raisons éthiques, de tels tests ne sont jamais effectués sans approbation. La vulnérabilité à une attaque DDoS est détectée heuristiquement par la présence de signes de mécanismes de protection. Metascan a vérifié ce paramètre pour la présence de CDN et de systèmes de filtrage du trafic, tels que Cloudflare, Qrator, Imperva. Le filtrage du trafic peut être effectué par le fournisseur d'hébergement, et il ne peut pas être déterminé de l'extérieur, alors il peut y avoir une inexactitude dans ce paragraphe. Si les projets ont trouvé une telle inexactitude dans la notation, ils peuvent écrire à Metascan.
La présence de vulnérabilités dans l'application Web. L'un des produits de Metascan est un scanner de vulnérabilité. Tout propriétaire du site à metascan.ru peut l'utiliser indépendamment. Avec lui, les pages de destination des projets ont été numérisées. Cependant, dans Metascan, faites attention que cette vérification ne montre que des vulnérabilités se trouvant sur une surface. Une analyse approfondie ou plus approfondie vous permet de détecter toute la gamme des vulnérabilités ou de vérifier leur absence. Mais un audit plus approfondi nécessite une coordination avec les administrateurs de ressources.
La présence d'arnaqueurs dans le chat Telegram du projet. Comment fonctionnent les escrocs? Ils prétendent être membres de l'équipe ICO, écrivent des messages privés aux investisseurs et proposent d'envoyer de l'argent sur leur portefeuille pour recevoir des jetons à un prix très avantageux. C'est précisément parce qu'ils communiquent en face à face avec les investisseurs, que les fraudeurs n'ont aucun sens de bloquer les ICO dans le chat général. Les pertes dues aux actions des fraudeurs sont d'environ 5 ETH pour chaque jour de crowdsale. Dans le même temps, les fraudeurs surveillent l'émergence de nouvelles ICO et créent à l'avance des comptes qui imitent les comptes des fondateurs de projets et des administrateurs de groupe.
Que fait Metascan avec une telle fraude? L'équipe a développé des outils et des mécanismes qui peuvent identifier de tels escrocs. Metascan recueille des données sur les portefeuilles utilisés, l'emplacement et l'équipement de l'attaquant. Après cela, leurs comptes sont définitivement supprimés et les numéros sont interdits: Metascan est l'une des rares, sinon la seule entreprise qui fournit des services non seulement pour détecter les comptes frauduleux, mais aussi pour les supprimer du messager Telegram.
La
liste publique contient déjà 124 portefeuilles cryptographiques frauduleux, et la base de données du système antifraude Metascan contient plus de 1 500 comptes Telegram uniques utilisés pour la fraude ICO.
La plupart des attaquants «vivent» au Nigéria et travaillent à partir d'appareils mobiles. 43% de tous les escrocs trichent sur les investisseurs iPhone et 57% des escrocs utilisent des téléphones Android, préférant les versions 4 et 7 de ce système d'exploitation.
Voici un exemple d'un cas réel contre les escrocs de Telegram:Pour l'un des clients, lors de la campagne marketing, la fraude a fortement augmenté. Si avant son lancement, nous détections et supprimions un ou deux par jour, alors après que des dizaines de comptes soient apparus simultanément, se faisant passer pour des membres de l'équipe de projet dans Telegram.
Pour chacun, nous avons rapidement pris des mesures, enregistré des données et supprimé. Autrefois, un fraudeur têtu a enregistré de nouveaux comptes, mais après 3-5 suppressions, il a abandonné et est parti. De plus, il y avait constamment de fausses lettres des organisateurs, de faux formulaires d'inscription sur Google, des annonces de phishing. Autour de l'horloge, nous avons été impliqués dans la réponse et la suppression du contenu frauduleux.
En conséquence, lors de la contre-attaque de la société de phishing, 36 comptes frauduleux ont été supprimés. 3 domaines sont divisés. 1 campagne publicitaire dans AdWords et 2 formulaires de phishing dans Google Forms ont été bloqués.
Contacts Metascan:
+7 495 152 1337
david.ordyan@metascan.ru
@david_ordyan (télégramme)
Exemple de correspondance avec des escrocs:
