⇐ Назад, в начало блога

Массовый технический шантаж под видом уязвимостей в ICO

img 5b5390fac593d - Массовый технический шантаж под видом уязвимостей в ICO

В статье описывается больная тенденция в эксплуатации слова scam людьми, ничего из себя не представляющих.

Наша группа компаний имеет 350-400 клиентов на ICO с общей суммой сборов этих клиентов в 2,5 млрд долларов и мы довольно часто сталкиваемся с одним типовым вопросом от наших клиентов. Им пишут люди, которые якобы нашли дыры на сайте, смарт контракте, в других объектах. Разумеется, наши клиенты (основатели компаний, идущих на ICO) сильно этого пугаются, платят таким мошенникам деньги. На самом деле — это целая отрасль. Школьники и взрослые люди с небольшим IQ, не нашедшие другой работы, массово используют сканеры безопасности или просто вымышленные технически сформулированные фразы, чтобы напугать ничего не подозревающих людей. Это шантажисты в ИТ.

Есть и другие, не очень умные люди, которые таким шантажом не занимаются, они просто кричат, что все вокруг мошенники. Этих интернет-дятлов рассматривать не интересно, опасности не представляют, они живут в своем сообществе, где выделываются друг перед другом, кто лучше обыграет слово «scam». Недавно я был на CryptoShow — было очень неприятно слушать некоторых из «судей», когда те троллили основателей проектов и устраивали длительные убогие словесные перепалки, показывая свою низкую квалификацию. А вот первая группа, умеющая жонглировать техническими терминами и пользоваться сканерами безопасности, которые действительно находят мелкие проблемы, представляет опасность. Это настоящие преступники, т.к. заставляют основателей ICO идти с ними на контакт, тратить время и в конце концов, после давления, основатели проекта им соглашаются заплатить деньги. Разумеется, этот абзац не касается тех редких историй, когда профессиональный программист нашел чрезвычайно опасную дырку в каком-то уже существующем крупном проекте (Facebook) и попросил за нее денег — легально, с доказательством, с молчанием о найденном.

Типовой портрет интернет-дятла: нет своего крупного бизнеса, нет своих известных достижений, нет своих крупных ИТ проектов, зато есть куча комментариев, видео-блогов или статей о том, что они думают про то или иное чужое ICO. Ничем другим, кроме как низким IQ это не объяснить — люди не добились ничего, но на негативе хотят заработать себе известность. Когда у специалиста в ICO или IT отрасли есть мозги, способности, ум, предпринимательская жилка — они тратят свое время на свои проекты и прибыль. Ибо со scam-какашек много не заработать.

Типовой портрет ИТ-шантажиста: начинающий или бывший программист, нет интересной работы или собственных проектов, нет никаких личных перспектив в ИТ карьере. Научился использовать чужие дырки (в сканерах безопасности) и возомнил, что теперь что-то из себя представляет. Увы, нет. Разумеется, умные и талантливые программисты тратят свои усилия на собственные проекты.

Я понимаю, что так писать невежливо, но других слов нет. Обе группы людей — глупы. И из-за того, что это крикливые глупцы, именно их, в основном, и слышно.

Что делать, когда действительно есть обоснованная критика?

Наша группа компаний и мы в CryptoB2B тоже занимаемся критикой. Но с заметными отличиями, на технологической основе, массово, можно сказать научно.

К примеру, есть наше рейтинговое агентство ICOrating (разные интернет-дятлы иногда критикуют наш ICOrating, говорят что и это scam). Что же делает агентство? Имеет разработанную методологию, как оценить бизнес качество того или иного ICO. Сотрудники такого агентства детально разбирают разные аспекты очередного своего клиента, создавшего ICO, и отвечают на главный вопрос — стоит ли туда вложить деньги.

Если агенство ставит хороший рейтинг, это не означает, что проект будет успешным. Это означает, что такая ICO компания значительно более выгодная, чем весь остальной шлак. И на хайпе там более вероятно заработать. Речь именно о вероятностях и статистике. Разумеется, никому в голову не придет писать необоснованный словестный понос про мошенничество. У компании другая цель — заработать денег. Их бизнес коллеги, например с Matrix CIB, заняты смежной деятельностью — они сами инвестируют деньги в ICO. Им нужно знать, куда вложить, чтобы собственные средства преумножить. Разумеется, трейдеры Matrix вкладываются в токены тех компаний, кто имеет хороший рейтинг. Кстати, если вы основатель ICO и ищите инвестиции — обращайтесь ко мне, у нас условно бесплатная услуга «поиск инвестиций для ICO» (оплата % по факту привлеченных денег). Так вот, ИТ-дятлы охаивают любые проекты, вместо создания своих (или из-за несостоятельности делать свои). И абсолютно уверены в своей правоте, т.к. варятся в мелком сообществе таких же неудачников.

Другая сторона дела — техническая. Там, где промышляют ИТ-мошенники или ИТ-шантажисты. Когда лично у меня есть обоснованная критика к ICO, я беру и провожу аудит кода, с приведением доказательств, кусков кода. И главное! С бесплатным советом, как все исправить. Это ключевое слово — критиковать и не говорить, как исправить, автоматически понижает IQ человека до 70. И ниже. ИТ-мошенники нацелены только на краткосрочную наживу с несчастных основателей ICO. Разумеется, мошенники являются профанами в затрагиваемых ими сферах ИТ-технологий, иначе бы они, работая по профессии, заработали бы себе на жизнь в сказочное кол-во раз больше денег!

Автор этой статьи занимается поточным аудитом смарт контрактов от клиентов уже 1,5 года. К нам (в рейтинг или банк) приходят клиенты / фонды и задают вопрос — можно ли вложить в то или иное ICO? Насколько смарт контракт хорош? А безопасен ли он? Это частный заказ, с договором о неразглашении, поэтому результаты никогда не публикуются и никакого мотива врать, пугать, сочинять небылицы нет. В таких отчетах пишется только сухая выжимка, что найдено, чем это грозит, рекомендации по исправлению. Пример такого публичного аудита, где я разобрал самое популярное ICO в июле 2018 года — https://cryptob2b.io/ubex-ico-security-audit/ Если вам подсовывают что-то в ином виде — перед вами мошенник или ИТ-шантажист. Да, понимаю, что на составление вдумчивого аудита нужно время. Намного проще для ИТ-мошенника накидать пару стандартных страшилок.

Заметьте, мои коллеги из ICOrating поставили проекту Ubex высокую бизнес оценку (+10 других рейтинговых агентств тоже). И это не обман, хотя интернет-дятлы утверждают, что все оплачено. А я поставил резко отрицательную оценку, что с технической точки зрения Ubex — нуль, а не проект. Просто потому, что обе оценки правдивы одновременно, их можно перепроверить, никакого сговора нет.

Свежий пример ИТ-шантажиста

smart contract audit review security скам мошенничество ICO смарт контракт

Это скрин человека, который с умным видом предупреждает ничего не подозревающую общественность об очередных «мошенниках» в ICO (хотя он сам, вероятно, и есть ИТ-мошенник). По его имени в Linkedin вы сами можете найти его профайл и оценить, кто это — реальный ИТ-специалист, или ИТ-дятел, или ИТ-шантажист, зарабатывающий на такой специфичной теме.

Первая проблема ИТ-шантажистов в том, что очень сложно понять, что они написали. Когда такие сообщения читает CEO компании, тот очень пугается написанного. А мне, программисту с опытом 20+ лет, понять написанное невозможно. Ибо это является набором слов, т.к. я слишком много всего могу предположить. Не спорю, иногда такие ИТ-шантажисты сообщают о действительно реальных проблемах (+просьбу оплаты), которые выявил сканер безопасности — это имеет под собой основу. Но «уязвимость» не стоит запрошенных денег, большой угрозы не несет. Да, ее действительно следует удалить и действительно в таком случае нужно выплатить небольшое вознаграждение, типа $50. Ну, просто нет оснований платить больше школьнику. Так же есть просто нормальные люди, которые совершенно без намеков на деньги сразу сообщают о дырах + детали. Сообщают именно с детализированным указанием того, что нужно закрыть. Например, «У вас на сайте по http://example.com/backup/sql.zip находится архив со всеми паролями от сайта». Прямой угрозы архив не представляет, но если изучить архив и попробовать начать применять найденную там информацию — это, вероятно, приведет к взлому сайта. Когда не сообщают о деталях, не могут ничего доказать, пишут общие фразы — это преступники, классифицируемые как «ИТ-шантажисты». Это было обобщение — про общую статистику, что собираю со своих клиентов. В частности, в данном примере с Binod, он не пишет про деньги, но ведь это только первое сообщение, и совершенно не раскрывает примеры. Если он говорит, что можно взломать — так взломай сперва, тогда и пиши!

Вторая проблема. К сожалению, и Binod, и все остальные критикующие не сообщают, как сделать по другому, правильно, идеально. Пусть такой писатель покажет ЛИЧНО СВОЙ код идеального смарт контракта, а я уж тогда либо устрою большой разоблачительный обзор индусских программистов (в России есть неполиткорректный мем про «индусский код») , либо принесу извинения + скажу спасибо + научусь сам чему-нибудь + сам исправлю свои ошибки + буду других этому учить. Я построил свою ICO платформу и код смарт контракта, проводя 1,5 года аудиты и читая действительно ужасающий код все это время. На моей истории всего 5% клиентов не имели проблем и мы им давали положительное заключение. Разумеется, я в ближайшее время пойду и посмотрю на тот уровень ICO, где сам автор слов с этого скриншота принимает участие (Binod  является советником в ряде ICO). Согласно моей личной статистике, в 90% случаев код смарт контракта будет за гранью ада, где нарушается абсолютно все, начиная с главной идеологии блокчейна.

Третья проблема вытекает из недостатка опыта Binod и его низкой юридической подкованности для обслуживания проектов во время реальной жизни после ICO (напоминаю, наш опыт в ICO — более 350 клиентов). Второй пункт написан лживо, чтобы напугать кого-то, но имеет под собой основания, связанные с юридическими проблемами. Если по ходу жизни проекта в какой-то стране будет принято судебное (или иного органа) решение про токены относительно какого-то персонального инвестора, то ответственность за исполнение ляжет на компанию. Соответственно, это не удаление токенов (никакого удаления нет, Binod лжет), чем пугает ИТ-мошенник, а заморозка токенов по независящим причинам. Так же она применяется для инвесторов, которые злостно уклоняются от KYC процедуры длительное время. В этих случаях компания, проводящая ICO, обязана откатить сделку: токены заморозить (или удалить, хотя удаления нет) и вернуть деньги. Заморозка так же предполагает и отмену заморозки. Например, если суд отменит первое решение, то заморозка просто отменяется.

Четвертое. Binod  пишет, что если что-то там взломают, то наступит конец света. Я извиняюсь, но что у таких людей в голове? Ведь тоже самое можно написать про кого угодно: если взломают все самолеты — вы все умрете. А кто не летит — не расслабляйтесь, тоже умрете от падающих чемоданов. Если взломают все iPhone — вы все умрете без интернета и возможности читать тупые статьи на тему «ICO — сплошной scam». Такие аргументы возможны у школьников. Относительно взлома смарт контракта — его взломать нельзя. Вообще никак (99,999%). Приглашаю Binod взломать мой смарт контракт и украсть токены. Я периодически читаю лекции об ошибках в ICO, так вот, первый пункт об ошибках там как раз про взлом. Но я сразу повторяю, что реально прямая хакерская угроза на смарт контракт — это самое невероятное событие. Чтобы программист оставил дыру — это чрезвычайно редкая ситуация, но в теории возможная. Не оставлять дыр — очень легко. Даже для плохого программиста. Любые настоящие аудиторы смарт контрактов это знают. Да, в смарт контрактах бывают проблемы, которые приводят к потерям денег. Например, лично я с моими программистами сэкономил денег от прямого ущерба на $70 млн (проводя аудит чужих ICO). Но ни разу не было дыры, чтобы хакер мог что-то украсть. Были иного рода ошибки. Итого, если какой-то «специалист» пишет, что хакер может взломать и далее красочно описывает последствия — это профан. Часто бывают трагедии, когда смарт контракт может сам по себе сломаться по вине программистов, при этом деньги зависнут намертво, их нельзя никому достать (ни хакеру, ни основателю). Эта проблема — реальна. Разумеется, ее тоже нет в обсуждаемом ICO — просто объясняю публике про сухую статистику, что бывает в смарт контрактах.

Пятое. Binod пишет, что можно выпустить любое кол-во токенов. Вероятно, он привык иметь дело с плохими ICO (я их тоже ненавижу и критикую), но в данном случае обвинение лживо. В смарт контракте присутствует честный softcap + hardcap. Честный — ключевое слово. На основе своего личного опыта по разбору чужих ICO очень часто (>70%) инвесторам обещают наличие softcap or/and hardcap, но на деле (в коде) его нет. С этим пунктом согласен, такое бывает. С этим нужно бороться! Но у Imigize ее нет, не теряйте голову и не гребите всех под одну гребенку.

Шестое. Он что-то пишет про капитализацию. Мол, если хакер нажмет кнопку (чего сам не нажал до сих пор?), инвесторы пострадают. Видимо, далек автор слов от реальности. На такой невероятный случай давно есть простейшее решение. Предположим, все токены украли. Но в блокчейне то все записывается. Мы снимаем реестр владельцев токенов на момент за 5 минут до взлома. Выпускаем новые токены по этому реестру, рассылаем. Всем объявляем: нас взломали, но проблема уже решена, сделайте то и то (инструкция, как увидеть в кошельке новые токены). На этом все. Да, это очень неприятно с маркетинговой точки зрения, страдает имидж компании, но не более — никакого ущерба нет. Он есть только в голове ИТ-шантажистов.

Седьмое. Это ICO не касается, затрагивает общую логику, которая, из-за недостатка IQ, недоступна многим критикам. Что такое Imigize? Это бесконтактная примерка обуви. Новая технология. Этот проект и технология существуют сами по себе, не зависят от ICO (которое нужно, чтобы собрать деньги на промышленные центры и рекламу). В чем критики видят scam? В том, что появилась инновация, когда в обувных онлайн магазинах вы сможете покупать обувь, будучи уверенными в правильном размере? А как критик прокомментирует, что можно ножками прийти в магазин, отсканировать ногу и в онлайн магазине купить обувь? Критики против реально новых технологий, которые в буквальном смысле можно пощупать своими ногами? Думаю, ответ очевиден — у критиков что-то не в порядке.

Восьмое. Если у вас по ходу статьи возникло желание провести аудит чего-либо (себя или объект будущих инвестиций), то разумеется, мы с удовольствием проведем любой аудит — анализ кода, технический разбор белой бумаги, есть ли там вообще хоть какие-то намеки на структуру проекта, кроме жонглирования словами «блокчейн», ничего не говорящих, но очень красивых блок-схемах и графиках. Разумеется, работа будет выполнена в академическом стиле, исследованы разные неявные аспекты поведения смарт контракта. Обращайтесь в CryptoB2B. К примеру, из-за общего недостатка и убогости Ethereum (другие блокчейны еще на порядок хуже) и особенно инструментов разработки / отладки / тестирования, мы иногда переписываем код на Solidity на другой язык (PHP/JS). Это позволяет прогнать миллионы тестов за десятки минут. Такой же тест в инструментах от Ethereum сообщества занял бы годы или программист просто поленился бы его делать. Разумеется, мы не пишем низкосортные отчеты и не пугаем угрозами, в стиле «анализа», который вы видели на скриншоте.

Итого, продолжение следует в виде отдельных статей, мне нужно изучить творческую деятельность этого господина, чтобы оценить его достижения в ICO и других проектах… Это был пример продвинутого ИТ-шантажиста. Обычно, их послания еще менее профессиональные, более детские, обозревать и комментировать там нечего вообще. Спасибо Binod за возможность написать целую статью. Наболело давно (общий низкий технический уровень), да не было повода высказаться. Разумеется, это было частное оценочное суждение автора, а не официальный ответ кого-либо на что-либо.

Автор статьи: Дмитрий Бородин, (co)founder: CryptoB2B.io, Topface.com, Imigize.com, php.spb.ru.


UPDATED:  Захватывающее продолжение данной истории здесь, часть #2: https://cryptob2b.io/comments220718/

⇐ Назад, в начало блога