为什么ICO这么容易被黑？

这个夏天的新闻不时穿插着各种“首次公开募币( ICO)”的欺诈和黑客事件打断。

ICO，即向想投资新兴区块链相关公司的人发行令牌或加密货币的初创公司募款活动。

7月中旬，名为CoinDash的一家初创公司在其ICO期间损失了700万美元，因为一名黑客将投资人打钱的地址给改了，资金流向了某恶意电子钱包而不是CoinDash。数天后，至少3个ICO受到Parity加密货币钱包漏洞的影响，让骗子卷走3000万美元。而黑客伪造的电子金融服务开发商Enigma货币预售，则让小偷成功盗得50万美元。

随着ICO的激增，无论是依赖ICO筹钱的初创公司，还是大多为普通互联网用户的投资者，都面临很大的风险，他们可能会损失数百万美元。国内前不久的ICO禁令，更是令加密货币的价格大跌，一时间风声鹤唳。

从安全角度来谈ICO

2013年起，ICO便融合了传统风投资本(VC)融资轮和众筹的方式，虽然一些初创公司喜欢ICO人人平等的属性，很多公司还是仅仅因为被更传统的VC和金融机构拒绝，才转向采用ICO的方式筹资。

ICO在去年风行度暴增，但就像其他任何新兴的无监管金融机制一样，ICO也是不成熟、有风险的陌生领域。持有ICO的初创公司，未必准备好面对他们的募资可能面临的暴露面，而很多支持者也是ICO新手，甚至只是普通投资的新手。因为对ICO运作机制和结果知之甚少，参与者特别容易沦为各种诈骗的受害者。于是，各种勾搭骗局也就适时出现了。

Adobe产品经理，共同创建了Dogecoin加密货币的杰克森·帕尔马称：“这些ICO目标远大。攻击者手握ICO推出日程及目标融资额，毫不令人意外。ICO向一群毫无经验的人打开了融资的大门，而这些人未必知道怎么进行良好的信息安全操作。且投资人也是极度缺乏经验的。这根本是拿人们钱财打水漂的一场完美风暴。”

保护钱包

当然，不是所有的ICO都会被黑，很多初创公司能够控制损失，甚或成功保护自身及其投资人不被骗。

但被攻击很快成为了ICO的常态。

公司企业纷纷报告自家筹资网站遭到DDoS攻击，他们的Slack频道被操纵来推出虚假钱包地址，甚至连处理加密货币交易的后端过程都遭到攻击。

上周的一份致投资人的声明中，加密货币平台Kickico首席执行官安提·达尼勒夫斯基，陈述了攻击者试图破坏该公司本次ICO的所有方式。尽管Kickico的ICO最终没有造成任何人的金钱损失，但达尼勒夫斯基指出，“我们很诚实地承认我们的失误：我们没有认识到，这么一个不引人注目不大搞PR宣传的小公司，都会吸引到人的注意。”

Kickico应从中学到一些经验教训，因为该平台计划将辅助其他公司的ICO纳入其服务之中。该公司已扩展了其安全预防措施，如今正通过执行渗透测试和独立审计，以提升其系统和网站的安全性。

线上的钱很多，随着ICO进入主流，这些钱将越来越多地来自未必了解加密货币的普通人，甚至连普通投资都未接触过的人。当菜场大妈都告诉你通过ICO投资什么东西的时候，这种机制就开始感觉像是一个安全又主流的选择了。 

8月，区块链分析公司Chainalysis报告称，过去几年，ICO吸引到了16亿美元的投资，而网络罪犯在去年从中吸走了大约10%。数字货币市场总市值如今超过900亿美元。

虽然有些ICO是通过实际的漏洞利用和其他黑客方法被窃的，罪犯进行ICO诈骗的最常用方法，却依然是社会工程。骗子利用网络钓鱼和社交媒体操纵，伪装成合法的ICO管理员，在网上向潜在投资者散布虚假信息，贴出虚假的充钱地址，甚至谎称有ICO要进行。

Enigma诈骗案中，攻击者黑掉了该公司的官方网站、Slack频道和邮件列表，发送看起来合法的特别预售信息，谎称可令有意向的投资者提前入场ICO。而实际上，骗子们只是在流转处于他们控制之下的一个虚假钱包，最终从中提钱。Enigma首席执行官盖伊·杰斯坎得上月称，“尽管路上有颠簸，我们依然肩负打造有趣事物的使命。”

杰斯坎得称，下周其真正ICO之后，Enigma将回馈资金给被骗的准投资者。但不是所有的公司都会负起其ICO相关诈骗的责任。有些ICO本身可能就是假的——空壳公司假称要融资，但实际上只是不负任何责任地把钱漏给罪犯而已。

政府进场

美国证监会(SEC)已开始探索该问题，特别是未注册ICO是否构成非法证券发行方面。SCE对加密货币平台“分权自治组织(DAO)”2016年ICO的调查确定，DAO令牌属于有价证券，DAO应作为证券交易所登记备案——SEC未来可施行的指南。当然，DAO吸引人们关注的地方，不仅仅因为它是该概念尚属新潮时的早期ICO，还因为黑客利用其中漏洞致使投资人损失了5000万美元。

然而，该SEC指南，远算不上对自由放任的ICO的一个即时解决方案，该机构似乎特别关注ICO诈骗对散户的影响。有些国家和地区，比如新加坡和香港，同样关注ICO并考虑采取监管——特别针对洗钱问题；而中国则在本周宣布全面禁止ICO。但是，因为投机者持续涌向这些在线投资，新型诈骗层出不穷。上周，SEC发布了关于该问题的一份新投资人警报(https://www.sec.gov/oiea/investor-alerts-and-bulletins/ia_icorelatedclaims)。

SEC分布式账簿技术工作组组长瓦勒瑞·斯泽潘尼克称：“我们不监管技术，我们监管涉及证券的技术的实现和执行。ICO代表着新形式的资本形成方式和投资人接口，随之而来的自然是新的风险。合法活动仍在继续，但任何频频见诸报端的事物，都是骗子的饵料。我们关注可能对投资人造成伤害的那些领域。”

目前，无论初创公司还是投资人，都应该谨慎迈向ICO。人们担心会赶不上趟，于是各种项目纷纷上马，急于推出，想抢在市场做出某种修正之前捞钱。没有做太多尽职调查，必然会出现突破口。

有些人认为这波ICO狂热是个泡沫，另一些人则觉得ICO有可能成长为筹资的稳定渠道。追逐ICO的初创公司必须关注安全防御，准投资人需要小心谨慎。

来源：《连线》