这个夏天的新闻不时穿插着各种“首次公开募币( ICO)”的欺诈和黑客事件打断。
7月中旬,名为CoinDash的一家初创公司在其ICO期间损失了700万美元,因为一名黑客将投资人打钱的地址给改了,资金流向了某恶意电子钱包而不是CoinDash。数天后,至少3个ICO受到Parity加密货币钱包漏洞的影响,让骗子卷走3000万美元。而黑客伪造的电子金融服务开发商Enigma货币预售,则让小偷成功盗得50万美元。 随着ICO的激增,无论是依赖ICO筹钱的初创公司,还是大多为普通互联网用户的投资者,都面临很大的风险,他们可能会损失数百万美元。国内前不久的ICO禁令,更是令加密货币的价格大跌,一时间风声鹤唳。 从安全角度来谈ICO 2013年起,ICO便融合了传统风投资本(VC)融资轮和众筹的方式,虽然一些初创公司喜欢ICO人人平等的属性,很多公司还是仅仅因为被更传统的VC和金融机构拒绝,才转向采用ICO的方式筹资。 ICO在去年风行度暴增,但就像其他任何新兴的无监管金融机制一样,ICO也是不成熟、有风险的陌生领域。持有ICO的初创公司,未必准备好面对他们的募资可能面临的暴露面,而很多支持者也是ICO新手,甚至只是普通投资的新手。因为对ICO运作机制和结果知之甚少,参与者特别容易沦为各种诈骗的受害者。于是,各种勾搭骗局也就适时出现了。 Adobe产品经理,共同创建了Dogecoin加密货币的杰克森·帕尔马称:“这些ICO目标远大。攻击者手握ICO推出日程及目标融资额,毫不令人意外。ICO向一群毫无经验的人打开了融资的大门,而这些人未必知道怎么进行良好的信息安全操作。且投资人也是极度缺乏经验的。这根本是拿人们钱财打水漂的一场完美风暴。” 保护钱包 当然,不是所有的ICO都会被黑,很多初创公司能够控制损失,甚或成功保护自身及其投资人不被骗。 但被攻击很快成为了ICO的常态。 公司企业纷纷报告自家筹资网站遭到DDoS攻击,他们的Slack频道被操纵来推出虚假钱包地址,甚至连处理加密货币交易的后端过程都遭到攻击。 上周的一份致投资人的声明中,加密货币平台Kickico首席执行官安提·达尼勒夫斯基,陈述了攻击者试图破坏该公司本次ICO的所有方式。尽管Kickico的ICO最终没有造成任何人的金钱损失,但达尼勒夫斯基指出,“我们很诚实地承认我们的失误:我们没有认识到,这么一个不引人注目不大搞PR宣传的小公司,都会吸引到人的注意。” Kickico应从中学到一些经验教训,因为该平台计划将辅助其他公司的ICO纳入其服务之中。该公司已扩展了其安全预防措施,如今正通过执行渗透测试和独立审计,以提升其系统和网站的安全性。 线上的钱很多,随着ICO进入主流,这些钱将越来越多地来自未必了解加密货币的普通人,甚至连普通投资都未接触过的人。当菜场大妈都告诉你通过ICO投资什么东西的时候,这种机制就开始感觉像是一个安全又主流的选择了。 8月,区块链分析公司Chainalysis报告称,过去几年,ICO吸引到了16亿美元的投资,而网络罪犯在去年从中吸走了大约10%。数字货币市场总市值如今超过900亿美元。 虽然有些ICO是通过实际的漏洞利用和其他黑客方法被窃的,罪犯进行ICO诈骗的最常用方法,却依然是社会工程。骗子利用网络钓鱼和社交媒体操纵,伪装成合法的ICO管理员,在网上向潜在投资者散布虚假信息,贴出虚假的充钱地址,甚至谎称有ICO要进行。 Enigma诈骗案中,攻击者黑掉了该公司的官方网站、Slack频道和邮件列表,发送看起来合法的特别预售信息,谎称可令有意向的投资者提前入场ICO。而实际上,骗子们只是在流转处于他们控制之下的一个虚假钱包,最终从中提钱。Enigma首席执行官盖伊·杰斯坎得上月称,“尽管路上有颠簸,我们依然肩负打造有趣事物的使命。” 杰斯坎得称,下周其真正ICO之后,Enigma将回馈资金给被骗的准投资者。但不是所有的公司都会负起其ICO相关诈骗的责任。有些ICO本身可能就是假的——空壳公司假称要融资,但实际上只是不负任何责任地把钱漏给罪犯而已。 政府进场 美国证监会(SEC)已开始探索该问题,特别是未注册ICO是否构成非法证券发行方面。SCE对加密货币平台“分权自治组织(DAO)”2016年ICO的调查确定,DAO令牌属于有价证券,DAO应作为证券交易所登记备案——SEC未来可施行的指南。当然,DAO吸引人们关注的地方,不仅仅因为它是该概念尚属新潮时的早期ICO,还因为黑客利用其中漏洞致使投资人损失了5000万美元。 然而,该SEC指南,远算不上对自由放任的ICO的一个即时解决方案,该机构似乎特别关注ICO诈骗对散户的影响。有些国家和地区,比如新加坡和香港,同样关注ICO并考虑采取监管——特别针对洗钱问题;而中国则在本周宣布全面禁止ICO。但是,因为投机者持续涌向这些在线投资,新型诈骗层出不穷。上周,SEC发布了关于该问题的一份新投资人警报(https://www.sec.gov/oiea/investor-alerts-and-bulletins/ia_icorelatedclaims)。 SEC分布式账簿技术工作组组长瓦勒瑞·斯泽潘尼克称:“我们不监管技术,我们监管涉及证券的技术的实现和执行。ICO代表着新形式的资本形成方式和投资人接口,随之而来的自然是新的风险。合法活动仍在继续,但任何频频见诸报端的事物,都是骗子的饵料。我们关注可能对投资人造成伤害的那些领域。” 目前,无论初创公司还是投资人,都应该谨慎迈向ICO。人们担心会赶不上趟,于是各种项目纷纷上马,急于推出,想抢在市场做出某种修正之前捞钱。没有做太多尽职调查,必然会出现突破口。 有些人认为这波ICO狂热是个泡沫,另一些人则觉得ICO有可能成长为筹资的稳定渠道。追逐ICO的初创公司必须关注安全防御,准投资人需要小心谨慎。 来源:《连线》 |