Введение в безопасность IxO

24.01.2023 Автор: Владимир Булдыжов

Что такое ICO, IEO, IDO, IFO, STO и IGO, какие там риски, и как их снижать

Сегодня вы узнаете, что означают акронимы ICO, IEO, IDO, IFO, STO и IGO, какие у них есть особенности, сходства и различия. Также мы описали проблемы, инциденты, угрозы и уязвимости информационной безопасности, связанные с этими инвестиционными инструментами.  

ICO – первичное предложение в мире криптовалют

Механизм первичного предложения активов компании на бирже появился задолго до появления криптовалют. Любая компания, впервые выпуская собственные акции, проводит IPO (Initial Public Offering) – первичное публичное предложение своих ценных бумаг для широкого круга мелких и крупных инвесторов.

С появлением криптовалют первые публичные предложения в этом пространстве стали называть ICO (Initial Coin Offering) по аналогии с IPO. Синонимом ICO является краудсейл (crowdsale).

ICO – это эмиссия (выпуск) каким-либо проектом токенов – аналогов корпоративных акций в мире блокчейн. Токены также называются цифровыми купонами, так как часто используются для всевозможных скидок, акций, покупки услуг и т. п.

Ещё токены предназначены для финансирования проекта и получения в будущем части его прибыли, а также для оплаты услуг этого проекта и для других целей, связанных с этим проектом. 

Организацию, которая выпускает финансовые активы для получения инвестиций, называют эмитентом. Большие проекты вроде Ethereum, Cardano и Neo начинали как эмитенты ICO. Именно этот вид инвестиций позволил им развиться до сегодняшних масштабов. 

Безопасность ICO

Вместе со взрывом интереса к криптовалютам и ICO, обнаружились и новые уязвимости информационной безопасности. Благодаря криптографической безопасности и децентрализованному характеру технологий блокчейн, атаки непосредственно на эти технологии обычно сложнее, чем атаки на традиционные ИТ. 

В то же время, из-за незрелости индустрии блокчейна, безопасность его сопутствующих технологий и процессов намного слабее, чем, например, в банковской отрасли. Как мы писали ранее, темпы роста ущерба от инцидентов в блокчейн более чем в 5 раз превышают темпы роста ущерба от инцидентов в традиционных ИТ.

Одними из самых громких атак на ICO стали атаки на CoinDash и Bitcoin Gold. В случае с первым, причиной потери около 7 млн USD стала недостаточная защита веб-приложения. В случае с Bitcoin Gold клиенты потеряли доверие к проекту из-за того, что сайт был недоступен около 5 часов по причине DDoS-атаки

Специфическим риском, связанным с токенами, является их заморозка в смарт-контрактах. Все операции происходят на платформе эмитента, в браузерах инвесторов и в сети блокчейн. Поэтому проблемы с безопасностью и финансовые потери могут возникать как у инвесторов, так и у эмитента. 

Наконец, простота выпуска токенов приводит к высоким рискам мошенничества и других нарушений со стороны эмитентов: скама, рагпуллов, нецелевого использования средств инвесторов и т. д.

IEO – вариант ICO под руководством криптобиржи

IEO (Initial Exchange Offering) – это мероприятие по сбору средств, когда крипто-стартапы собирают деньги через централизованную торговую платформу – централизованную криптобиржу (CEX). Криптобиржи организованы наподобие традиционных фондовых бирж. 

При ICO бизнес пытается вызвать интерес к своему проекту на своем собственном веб-сайте. В отличие от ICO, где взносы акционеров направляются на смарт-контракты эмитента, при IEO участники (инвесторы) отправляют свою криптовалюту на платформу биржи. CEX взимает со стартапа комиссию, а также оставляет себе определенную долю проданных токенов.

Иными словами, криптобиржа проводит IEO от имени стартапа. Это помогает повысить его авторитет в глазах инвесторов. После завершения IEO токены размещаются на бирже, то есть, включаются в её листинг. Стартапы могут использовать обширные клиентские базы бирж, чтобы привлекать интерес инвесторов. 

Binance Launchpad была одной из первых платформ IEO. Многие конкурирующие криптобиржи быстро последовали ее примеру и разработали свои платформы IEO.

Безопасность IEO

Самым большим преимуществом IEO является повышенная прозрачность и доверие. Поскольку продажа токенов осуществляется регулируемой криптобиржей, вероятность мошенничества намного ниже, чем при ICO, поскольку авторитетные платформы проводят собственную комплексную проверку проекта, прежде чем предлагать его пользователям. 

IEO считаются более надежными, чем ICO. Инвесторы, заинтересованные в проекте, должны пройти через процедуру «Знай своего клиента» (KYC) и процедуру по борьбе с отмыванием денег (AML), прежде чем получить доступ к проекту. При этом IEO могут быть связаны с более высокими затратами для стартапов в обмен на повышенную прозрачность.

С другой стороны, вероятность мошенничества и взлома при IEO далеко не нулевая. Безопасность IEO и его токенов не выше безопасности самой биржи CEX, на которой это IEO происходит, и на которой эти токены листятся, то есть, включены в биржевой список активов, допущенных к торгам. В случае критических уязвимостей в серверном или клиентском программном обеспечении биржи, IEO и токены также могут стать уязвимыми.

К примеру, в 2020 году биржа KuCoin стала объектом взлома. Преступникам удалось украсть 281 млн USD и получить ключи от некоторых горячих кошельков на бирже. Хотя KuCoin быстро заблокировала все транзакции на своем веб-сайте, этот случай стал одним из самых крупных нарушений в истории криптовалют.  

IDO – сбор средств через децентрализованную биржу

По мере развития технологий блокчейн стали появляться другие способы предложения криптовалютных активов.

IDO (Initial DEX Offering) – это сбор средств, который помогает проекту выпустить свой токен через децентрализованную биржу ликвидности (DEX). Эта технология является частью более общей концепции распределённых финансов (DeFi).

В отличие от CEX, программное обеспечение (смарт-контракты) DEX работает не на конкретных серверах биржи, а распределённым образом в сети блокчейн. DEX, в отличие от CEX, является полноценной распределённой блокчейн-биржей, в полной мере реализующей идеи независимости и автономности блокчейна. 

IDO обладает некоторыми свойствами ICO и IEO, однако основная особенность DEX в том, что эта биржа не хранит средства пользователей и не контролирует сделки. Пользователь переводит средства напрямую со своего криптокошелька на смарт-контракты платформы. Управление токенами осуществляется смарт-контрактами DEX автоматически. Иногда, для принятия важных решений, администраторы биржи организовывают для её участников голосование. DEX, в отличие от CEX, не проверяет и не верифицирует пользователей.

Первое IDO было выполнено Raven Protocol в июне 2019 года на Binance DEX.

Безопасность IDO

По сравнению с CEX, проекты и участники DEX получают более высокую конфиденциальность, защиту средств от конфискации, замораживания, регуляторных ограничений и т. д. Однако в целом на сегодня риски DEX намного выше, чем в CEX.

Из-за того, что DEX работают в “серой зоне” с точки зрения законов многих стран, эти биржи используются преступниками для отмывания денег. Это вызывает ряд специфических рисков и ограничений, связанных с правоохранительными органами, даже если вы не преступник.

Из-за пониженного централизованного контроля, в DEX намного выше риски мошенничества, чем в CEX. Так же, как и с некастодиальными кошельками, тем, кто склонен забывать или терять свои пароли и ключи, следует остерегаться бирж DEX, поскольку они не могут помочь в восстановлении этих учетных данных. 

Отдельная группа рисков DEX обусловлена относительной незрелостью технологий распределённых бирж. Уязвимости в программном обеспечении или протоколах DEX очень редкие и экзотические. Однако, если они обнаруживаются, то под угрозой сразу оказываются все средства, которые проходят через биржу.  

Одной из распространённых угроз, связанных с DEX, являются MEV-боты. Понятие MEV (Maximum Extractable Value) означает максимальную прибыль, которую майнер может получить за счет включения, исключения или изменения порядка транзакций в блоке блокчейна, до его подтверждения. Из-за этого майнеры стараются подстроить порядок блоков таким образом, чтобы получить наибольшую выгоду. Такие действия приводят к повышению комиссии транзакций. Специальные боты, которые отслеживают неподтверждённые транзакции, инициируют операцию по повышению цены прямо перед проведением транзакции. Этим они взимают “невидимый налог” с ничего не подозревающего пользователя. 

Одной из крупных атак MEV-ботов стал инцидент с компанией Twitter. О нём сообщил сотрудник исследовательской фирмы Flashbots. Тогда MEV-бот заработал на арбитражных сделках до 800 ETH на сумму около 1 млн USD. Всё закончилось тем, что самого бота взломали в тот же день. Хакер нашел уязвимость в коде и авторизовал транзакцию, тем самым бот потерял около 1101 ETH.

Можно найти немало интересных случаев других крупных атак, связанных с DEX.

В марте 2021 года PancakeSwap и Cream Finance сообщили об атаке на DNS. В том же месяце еще один эксплойт обошелся пользователям DODO в 3,8 млн USD. Уже в ноябре 2021 года биржа MonoX подверглась кибератаке, в результате которой убытки составили около 31 млн USD. Также крупными взломами, которые привели к потерям миллионов долларов, стали инциденты с MakerDAO, Eminence, bZx, Lendf.me, PAID Network, Harvest и Pinckle Finance. 

Из-за этих и других крупных краж, произошедших на DEX и DeFi, большое количество пользователей все ещё предпочитают централизованные биржи.

Таким образом, использование DEX и DeFi требует особой осторожности и ответственности со стороны каждого пользователя. Иными словами, децентрализованные биржи больше предназначены для опытных пользователей и тех, кто не боится сам нести ответственность за безопасность своих финансов.

IFO – самая современная модель краудсейла

IFO (Initial Farm Offering) – это модель сбора средств, которая помогает новым проектам DeFi привлекать капитал путем участия в предпродажных мероприятиях, проводимых после тщательной проверки проектов администраторами децентрализованных бирж. Данную технологию часто рассматривают как эволюцию всех предыдущих и считают одной из самых надёжных и современных. 

Как и в случае с IEO, при запуске IFO, биржа выступает посредником между проектом и инвесторами и обязательно проводит аудит самого проекта для отсеивания мошенников. 

Наиболее распространенной платформой для IFO является PancakeSwap. Пользователи PancakeSwap получают вознаграждение в виде токенов и цифровых валют, а владельцы новых проектов пользуются пулом ликвидности, предлагаемым платформой. Большинство токенов IFO управляется сообществом и практически не контролируется каким-либо центральным органом.

Безопасность IFO

Платформа IFO интегрирована с высококлассными протоколами и алгоритмами безопасности, например, защитой условного депонирования. При этом третья сторона выступает в качестве гаранта и удерживает активы или услуги двух сторон, совершающих сделку. Такой подход помогает безопасно совершать сделки без риска, когда одна из сторон может нечестно поступить со второй.

Несмотря на это, безопасность IFO нельзя считать идеальной. Например, хотя и PancakeSwap проходила аудиты безопасности от таких компаний как CertiK и Slowmist, в 2021 году мошенники вывели активы на 1,8 млн USD из лотерейного пула торговой платформы.

STO – токены безопасности

Выше в этой статье речь шла в основном об утилитарных токенах (utility tokens, служебные токены) и платёжных токенах (собственно, криптовалюты). В мире Web3 существуют также другие виды токенов. Мы имеем в виду стейблкоины, NFT, мем-токены, токены DeFi, биржевые токены, токены конфиденциальности, а также токены безопасности. На последних остановимся подробнее.

STO (Security Token Offering) – это особый тип публичного предложения, при котором токенизированные цифровые ценные бумаги, известные как токены безопасности, продаются на криптобиржах или даже на специализированных биржах токенов безопасности.

Security-токены отличаются от утилитарных токенов, главным образом тем, что отражают долю бизнеса, как правило, оффлайнового, выпускающего публичные активы. По сути, токены безопасности – это нечто среднее между традиционными “бумажными” фондовыми акциями и утилитарными крипто-токенами. 

Токены безопасности работают в блокчейне, при этом регулируются государством. Поэтому их было бы правильнее называть по-русски “регулируемыми обеспеченными токенами”.

Инвестиции в токены безопасности ориентированы сугубо на получение прибыли внешними инвесторами. В то же время, утилитарные токены в стандартном контексте предназначены, в первую очередь, для служебного использования внутри своих онлайн-проектов. 

Компании, выпускающие security-токены, обязаны соответствовать определённым нормам и предоставлять отчетность. Технология STO предполагает выпуск цифровых активов в соответствии с требованиями законодательства о ценных бумагах. 

Токены STO нацелены на аккредитованных инвесторов. Если брать в пример законодательство США, к ним предъявляется немалый ряд требований. Есть множество технических деталей, которые необходимо знать как организаторам для привлечения средств в свой проект, так и инвесторам – для правильного участия в STO.

Наиболее известными платформами STO являются BnkToTheFuture, StartEngine, SPICE VC, NeuFund ETO.

Безопасность STO 

Токены безопасности имеют мало общего с кибербезопасностью, так как речь идет сугубо об инвестиционной безопасности.

Security-токены решают проблему гарантий компенсаций в случае провала проекта или мошенничества со стороны организаторов. Ещё они служат инструментом страховки от возможных рисков при такой инвестиционной стратегии, как SAFT (Простое соглашение по будущим токенам). Такая модель даёт инвесторам возможность приобретать токены уже после запуска проекта. Она кажется более безопасной, но имеет свои инвестиционные риски. Например, вложение инвестиций не в сами токены, а в обещание получить их в будущем.

В то же время, токены безопасности, как и любые другие токены, могут быть потеряны, украдены или даже взломаны. Поскольку токен безопасности – это программируемый инструмент, он может содержать уязвимости в коде программы. Многие считают, что его невозможно изменить или украсть, однако мошенники могут получить доступ к личному кабинету биржи, где вы храните свои security-токены.

IGO – получите токены, играя

IGO (Initial Game Offering) – это последняя тенденция в мире первичных предложений криптовалютных акций. Единственное отличие от IDO состоит в том, что для IGO используются игровые проекты, основанные на NFT или внутриигровой валюте.

Инвесторы вкладывают свои средства в такие игровые проекты и могут рассчитывать на значительную рентабельность инвестиций, как только игровой проект запустится на крупных криптовалютных биржах или приобретет значительную популярность в игровом сообществе. 

С появлением блокчейн-игр IGO становятся следующей важной технологией в крипто-пространстве. Такие игры, как Axie Infinity, CryptoBlades и Alien Worlds, ежедневно посещают тысячи людей. Среди них в настоящее время лидирует Axie Infinity, объёмы продаж которой составляют более 1,1 млрд USD.

Из-за такого ажиотажа вокруг первичных предложений игр появилось несколько популярных стартовых площадок IGO. Наиболее популярные из них – Gamefi, Enjinstarter, Gamestarter и Seedify.fund.

Безопасность IGO 

Поскольку IGO практически является одним из подвидов IDO, о которых мы писали выше, безопасность IGO основана на безопасности децентрализованных бирж. 

На сегодня, количество киберпреступлений и потерянных инвесторами средств в IDO и IGO больше любой другой сферы цифрового инвестирования. Например, в апреле 2022 года мы писали о крупном взломе Axie Infinity на 625 млн USD. 

Общие советы по безопасности токенов

Каждый день специалисты по безопасности, программисты и хакеры со всего мира находят новые уязвимости в программном обеспечении. Каждый день в мире появляются новые токены, многие из которых являются мошенническими. Каждый день кто-то совершает ошибки: забывает пароли, выполняет неправильные транзакции, заражается компьютерными вирусами, поддаётся на фишинг и так далее.

Чтобы обезопасить свои средства, обратите внимание на наши советы по безопасности криптовалют и криптокошельков.

Чтобы быть полностью уверенным в конкретной платформе или целой технологии, которые вы собираетесь использовать, нужно проводить их тщательный анализ.

Как и в случае любых инвестиций, существуют простые практические советы:

1. Используйте правильные ссылки для подписок. Мошенники могут воспользоваться  ажиотажем, волнением и суетой, чтобы привлекать вас на поддельные страницы подписок. Любая криптовалюта, которую вы переведете через страницу мошенников, будет безвозвратно утеряна.

2. Используйте доверенную и изученную вами панель запуска. Каждая стартовая площадка должна следовать правилам и нормам информационной безопасности, таким как GDPR, для защиты данных своих клиентов. Также стартовая площадка должна обеспечивать процесс KYC («Знай своего клиента») для снижения вероятности мошенничества. Примерами популярных площадок запуска являются BullStarter, Polkastarter, Red Kite, BSC Pad.

3. Изучите проект, в который вы инвестируете. Он принадлежит уже известной и надежной команде? Будет ли доступен проект для использования сразу после запуска? Вопросы, подобные этим, могут помочь вам определить вероятность возможных махинаций.

4. Ознакомьтесь с условиями участия. Вы можете получить свои токены с задержкой, или они могут быть даже заблокированы на какое-то время. Вы должны досконально разбираться в токеномике проекта, в котором принимаете участие. 

5. Инвестируйте только то, что вы можете позволить себе потерять. Под влиянием азарта можно инвестировать больше средств, чем нужно. Не забывайте, что индустрия токенов по-прежнему сопряжена с риском. Даже при тщательном изучении вы все равно можете стать жертвой мошенничества, обмана, собственной ошибки, программного сбоя, взлома, утечки или других инцидентов.

Чтобы улучшить безопасность ваших проектов IxO, вы можете обратиться к нам, для проведения комплексного тестирования на проникновение, аудита безопасности смарт-контрактов или других видов оценки информационной безопасности.

Заключение

Теперь, когда вы знаете, что означают термины ICO, IDO, STO, IEO, IFO, IGO, и какие у них есть особенности работы и безопасности, вы сможете снизить риски при создании своего стартапа, выбрав подходящую технологию или платформу, либо стать инвестором или пользователем молодых и перспективных проектов.

Кроме рассмотренных нами видов токенов и первичных предложений, существуют также менее распространённые их виды: INO (Initial NFT Offering), LBP (Liquidity Bootstrapping Pool), SHO (Strong Holders Offering) и даже ITO (Initial Twitter Offering). Если вам интересно узнать об этих видах токенов, мы расскажем о них в одной из наших будущих статей.

Если у вас возникнут вопросы по безопасности токенов, первичных размещений, смарт-контрактов или любых других технологий блокчейн и Web3, вы всегда можете обратиться за бесплатной консультацией к нашим специалистам.

Подпишитесь на наш канал Телеграм, чтобы не пропустить новые статьи нашего блога.

Другие посты

10/11/2024
Как защитить и научить защищать входы в системы
10/10/2024
Обзор современных языков программирования и блокчейнов для смарт-контрактов