La tecnologia blockchain e le criptovalute hanno rivoluzionato il modo in cui le aziende raccolgono capitali. Invece di dover lanciare imprese di capitale di rischio e sacrificare l'equità, il controllo e l'autonomia durante il processo di raccolta fondi, le startup possono ora accedere ai finanziamenti necessari per sviluppare e avere successo senza cedere più di alcuni incentivi finanziari. Anche così, le offerte di monete iniziali non sono sempre infallibili.
Nonostante i vantaggi di sicurezza delle criptovalute e le difese della blockchain, ci sono molti casi altamente pubblicizzati che mostrano che anche i muri più duri non sono inespugnabili. Per i potenziali lanciatori ICO, questo dipinge un paesaggio ostile e potenzialmente allarmante.
Con quasi il 10% di tutti i fondi raccolti dagli ICO segnalati rubati o persi a causa di hack, le startup basate su blockchain affrontano una dura battaglia per il successo. Tuttavia, i rischi non dovrebbero dissuadere un'azienda dal cercare il capitale di cui ha bisogno per prosperare. Invece, ci sono diverse strategie che possono migliorare significativamente la sicurezza di un ICO e garantire che il tuo giro di crowdfunding non sia solo sicuro, ma anche di successo.
1. Controlla i tuoi Smart Contracts sottostanti
I contratti intelligenti offrono una soluzione inventiva per facilitare scambi senza fiducia poiché le regole per l'esecuzione degli accordi sono completamente automatizzate e codificate in algoritmi. Quando si tratta di ICO, tuttavia, i contratti intelligenti hanno una storia di essere un anello debole nel processo di raccolta di capitali. In effetti, alcune stime incolpano quasi la metà di tutti gli hack di Ethereum su contratti intelligenti mal progettati.
Frank Bonnet, esperto di smart contract e blockchain, sottolinea l'importanza di ottenere un audit professionale per gli Smart Contracts.
"È quasi impossibile codificare un contratto intelligente ermetico al 100%", ha dichiarato Bonnet. "Anche i migliori programmatori commettono errori, quindi è assolutamente necessario avere una revisione di terze parti e controllare il contratto, anche se solo per la tranquillità dei vostri investitori."
Esempi come il congelamento della parità e lo scandalo DAO sono il risultato degli hacker che hanno scoperto vulnerabilità nei codici di contratto intelligenti e li hanno sfruttati. Ancora più importante, tuttavia, un contratto intelligente scarsamente codificato può creare altri problemi, come fondi che scompaiono, token duplicati e persino script progettati per manipolare il processo di conio dei token.
L'esecuzione di un audit pre-ICO di contratti intelligenti con servizi di sicurezza blockchain come Hosho, che si concentra su test di sicurezza e penetrazione per applicazioni blockchain e contratti intelligenti, consente ai progetti di rilevare i problemi prima che si trasformino in catastrofi.
"Il numero di attacchi di alto profilo e violazioni dei dati di successo sono indicativi dei punti deboli di sicurezza che molte aziende e organizzazioni hanno", ha affermato Hartej Singh Sawhney, fondatore e CEO di Hosho Group. "Le aziende che si preparano per un evento di generazione di token dovrebbero ottenere almeno una verifica tecnica di terzi dei loro contratti intelligenti. Inoltre, un test di penetrazione del loro sito Web è cruciale, in modo da evitare situazioni come quello che è successo a CoinDash."
2. Ascolta le preoccupazioni della community e risolvile
Uno degli aspetti più singolari delle blockchain pubbliche e delle criptovalute associate è il loro grado di trasparenza. La maggior parte delle aziende rilascia tutto o almeno una parte del proprio codice, e in alcuni casi anche i contratti intelligenti per l'ICO. Nonostante la loro crescente popolarità presso gli investitori al dettaglio mainstream, gran parte della comunità che segue la blockchain ha una conoscenza approfondita della codifica e impiegherà del tempo per esaminare questi dettagli pertinenti. Per alcune aziende, questa è più una formalità che un passaggio reale, ma potrebbe essere un modo errato di visualizzarla.
Il DAO è un perfetto esempio del motivo per cui le aziende devono ascoltare la sua comunità. Il codice open source dell'azienda era disponibile per la revisione sui principali repository e diversi sviluppatori hanno avvertito che i file presentavano una grave vulnerabilità di sicurezza. Invece di correggere il codice, il DAO ha ignorato gli avvisi e, di conseguenza, sono stati persi milioni di dollari.
I membri della comunità hanno un interesse acquisito in un ICO di successo in quanto significa che potranno beneficiare dell'utilità offerta dalla piattaforma o dal servizio. Pertanto, offrire loro un canale chiaro per esprimere preoccupazioni ed esporre i problemi è una componente vitale per proteggere il tuo ICO. Più importante, tuttavia, sta trasformando quelle preoccupazioni in soluzioni concrete, in quanto possono essere aree che potresti aver perso durante la generazione del contratto.
3. Implementare solide politiche per rilevare i phisher
Per quanto riguarda la non programmazione di un ICO, è fondamentale essere sempre vigili per eventuali segni di potenziali truffe. Sebbene i programmatori e gli altri dipendenti della tecnologia possano essere a conoscenza delle tendenze e delle migliori pratiche di sicurezza informatica, non tutti i membri del team sono a conoscenza o si preoccupano necessariamente della sicurezza online. Il primo passo in questo caso è l'educazione. I membri del team di sviluppo commerciale e di vendita non devono comprendere il codice, ma devono conoscere potenziali exploit e segni di perpetrazione di un hack o di una truffa.
Ancora più importante, le aziende dovrebbero essere sempre sicure e attive nell'evitare le frodi. La scansione coerente di piattaforme Web come Facebook, Telegram e altri hub può aiutare a segnalare attività sospette e rimanere preparati per qualsiasi evenienza. Ciò offre anche al tuo team l'opportunità di trasmettere in modo affidabile aggiornamenti critici, visualizzare il sito Web corretto per un ICO ed educare i membri della comunità sui potenziali rischi.
Nel caso di EtherDelta, l'incapacità dell'azienda di rilevare copie fraudolente del proprio sito, che gli hacker hanno creato accedendo ai suoi record DNS e sostituendo i suoi domini, hanno causato la perdita di migliaia di dollari. I truffatori hanno creato siti Web falsi che apparivano come l'originale e la società non era abbastanza vigile da identificare e denunciare le potenziali truffe.
4. Fornire una protezione avanzata per il gateway ICO
La storia di CoinDash, un ICO enormemente pubblicizzato che è stato violato e ha provocato la perdita di 43.000 ETH, è diventata una storia di ammonimento per i nuovi concorrenti. I contratti intelligenti dell'azienda erano garantiti, ma il suo sito Web non lo era. Di conseguenza, gli hacker hanno cambiato l'indirizzo del portafoglio sul gateway ICO e, una volta aperto al pubblico, gli hacker hanno rubato oltre $ 7 milioni in meno di sette minuti.
Gli hacker sono stati in grado di ottenere l'accesso al sito Web dell'azienda attraverso un exploit che ha permesso loro di modificare un file sorgente, garantendo loro il controllo remoto completo sul sito Web. Semplicemente cambiando l'indirizzo del portafoglio, sono stati in grado di cavarsela con un'enorme rapina nonostante il recente ritorno di alcune monete.
La morale della storia di CoinDash è che è sempre più popolare prendere di mira non solo l'infrastruttura della maggior parte degli ICO, che hanno aggiornato la loro sicurezza, ma piuttosto un obiettivo facilmente trascurato come un sito Web. In questo caso, non è necessario un importante controllo di sicurezza, ma è fondamentale implementare gli strumenti giusti per proteggere i gateway.
Uno dei modi più semplici ed efficaci per ottenere questo risultato è l'implementazione di un potente firewall per applicazioni Web (WAF), come quello di Incapsula. I WAF controllano il traffico in entrata e in uscita, garantendo alle aziende un migliore controllo e supervisione di chi accede ai propri file e al proprio sito Web. I firewall proteggono queste backdoor dalle shell dei siti Web offrendo protezione contro l'iniezione di script e le tecniche di exploit comuni.
5. Proteggi i tuoi utenti
Un ICO di successo non è necessariamente la fine del processo di crowdfunding. Una volta che gli utenti hanno ricevuto i token, devono anche accedere ai servizi che hanno contribuito a finanziare. Come la startup crittografica britannica Electroneum ha appreso quando il loro sito Web è stato colpito da un attacco DDoS che ha bloccato i loro utenti dai loro account, la raccolta fondi è solo metà della battaglia.
La protezione di un sito Web da attacchi come attacchi DDoS implica la presenza degli strumenti giusti per farlo e anche i WAF possono svolgere questa funzione. Inoltre, le aziende dovrebbero sempre spingere per le misure di sicurezza più rigorose per gli utenti, tra cui l'autenticazione a due fattori, notifiche costanti per eventuali modifiche e persino la gestione dei registri delle attività a fini di sicurezza. La protezione degli utenti è fondamentale e garantire l'accesso ai servizi per i quali sono stati pagati è una necessità per evitare ripercussioni legali.
La linea di fondo
Le ICO sono uno strumento altamente efficace per le startup che cercano di mantenere il controllo delle proprie attività ma non sono esenti da rischi e onnipotenti. Per garantire il successo, dovresti sempre aderire alle migliori pratiche di sicurezza, spendendo gli sforzi per garantire che tu sia il più sicuro possibile e che anche i tuoi utenti siano protetti.
