La technologie de la blockchain et les crypto-monnaies ont révolutionné la façon dont les entreprises mobilisent des capitaux. Au lieu d'avoir à lancer des sociétés de capital-risque et à sacrifier l'équité, le contrôle et l'autonomie pendant le processus de collecte de fonds, les startups peuvent désormais accéder au financement nécessaire pour se développer et réussir sans céder plus que quelques incitations financières. Même ainsi, les offres initiales de pièces ne sont pas toujours infaillibles.
Malgré les avantages de sécurité très vantés des crypto-monnaies et les propres défenses de la blockchain, il existe plusieurs cas très médiatisés qui montrent que même les murs les plus durs ne sont pas imprenables. Pour les lanceurs potentiels d'ICO, cela dépeint un paysage hostile et potentiellement alarmant.
Avec près de 10% de tous les fonds collectés par les ICO déclarés volés ou perdus en raison de piratages, les startups basées sur la blockchain font face à une bataille difficile pour réussir. Cependant, les risques ne devraient pas dissuader une entreprise de rechercher le capital dont elle a besoin pour prospérer. Au lieu de cela, il existe plusieurs stratégies qui peuvent améliorer considérablement la sécurité d'un ICO et garantir que votre cycle de financement participatif n'est pas seulement sûr, mais aussi réussi.
1. Auditez vos contrats intelligents sous-jacents
Les contrats intelligents offrent une solution inventive pour faciliter les échanges sans confiance, car les règles d'exécution des accords sont entièrement automatisées et codées en dur dans des algorithmes. Cependant, en ce qui concerne les ICO, les contrats intelligents ont toujours été un maillon faible du processus de mobilisation de capitaux. En effet, certaines estimations attribuent près de la moitié de tous les hacks Ethereum à des contrats intelligents mal conçus.
Frank Bonnet, expert en contrats intelligents et blockchain, souligne l'importance d'obtenir un audit professionnel pour les contrats intelligents.
"Il est presque impossible de coder un contrat intelligent 100% étanche", a déclaré Bonnet. "Même les meilleurs programmeurs font des erreurs, et il est donc absolument indispensable de faire réviser et auditer votre contrat par un tiers, ne serait-ce que pour la tranquillité d'esprit de vos investisseurs."
Des exemples comme le gel de la parité et le scandale DAO sont le résultat de pirates qui ont trouvé des vulnérabilités dans les codes de contrat intelligents et les ont exploités. Plus important encore, cependant, un contrat intelligent mal codé peut créer d'autres problèmes, tels que la disparition de fonds, des jetons en double et même des scripts conçus pour manipuler le processus de frappe de jetons.
La réalisation d'un audit pré-ICO des contrats intelligents avec des services de sécurité blockchain comme Hosho, qui se concentre sur les tests de sécurité et de pénétration pour les applications blockchain et les contrats intelligents, permet aux projets de détecter les problèmes avant qu'ils ne se transforment en catastrophes.
"Le nombre d'attaques de haut niveau et de violations de données réussies est révélateur des faiblesses de sécurité de nombreuses entreprises et organisations", a déclaré Hartej Singh Sawhney, fondateur et PDG de Hosho Group. "Les entreprises qui se préparent pour un événement de génération de jetons devraient obtenir au moins un audit technique tiers de leurs contrats intelligents. En outre, un test de pénétration de leur site Web est crucial, afin d'éviter des situations telles que ce qui est arrivé à CoinDash."
2. Écoutez les préoccupations de la communauté et résolvez-les
L'un des aspects les plus uniques des chaînes de blocs publiques et des crypto-monnaies associées est leur degré de transparence. La plupart des entreprises publient tout ou partie de leur code, et dans certains cas, même les contrats intelligents pour l'ICO. Malgré leur popularité croissante auprès des investisseurs de détail traditionnels, une grande partie de la communauté qui suit la blockchain a une connaissance approfondie du codage et prendra du temps pour examiner ces détails pertinents. Pour certaines entreprises, il s'agit plus d'une formalité que d'une étape réelle, mais cela peut être une manière incorrecte de la visualiser.
Le DAO est un parfait exemple de la raison pour laquelle les entreprises doivent écouter sa communauté. Le code open source de la société était disponible pour examen sur les principaux référentiels, et plusieurs développeurs ont averti que les fichiers présentaient une vulnérabilité de sécurité majeure. Au lieu de patcher le code, le DAO a ignoré les avertissements et des millions de dollars ont été perdus en conséquence.
Les membres de la communauté ont un intérêt direct dans la réussite d'une ICO car cela signifie qu'ils pourront bénéficier de l'utilité offerte par la plateforme ou le service. Ainsi, leur donner un canal clair pour exprimer leurs préoccupations et exposer les problèmes est un élément essentiel pour sécuriser votre ICO. Plus important, cependant, transforme ces préoccupations en solutions concrètes, car il peut s'agir de zones que vous avez peut-être manquées lors de la génération du contrat.
3. Mettre en œuvre des politiques robustes pour détecter les hameçonneurs
Du côté de la non-programmation d'un ICO, il est essentiel d'être toujours à l'affût de tout signe d'escroquerie potentielle. Bien que les programmeurs et autres employés de la technologie puissent être au courant des tendances et des meilleures pratiques en matière de cybersécurité, tous les membres de l'équipe ne connaissent pas ou ne se soucient pas nécessairement de la sécurité en ligne. La première étape dans ce cas est l'éducation. Les membres de l'équipe de développement commercial et de vente n'ont pas besoin de comprendre le code, mais ils doivent connaître les exploits potentiels et les signes de piratage ou d'escroquerie.
Plus important encore, les entreprises devraient toujours être aussi sûres et proactives pour éviter la fraude. Une analyse cohérente des plates-formes Web comme Facebook, Telegram et d'autres hubs peut aider à signaler une activité suspecte et à rester prêt à toute éventualité. Cela donne également à votre équipe la possibilité de relayer de manière fiable les mises à jour critiques, d'afficher le site Web correct pour un ICO et d'éduquer les membres de la communauté sur les risques potentiels.
Dans le cas d'EtherDelta, l'incapacité de la société à détecter des copies frauduleuses de son site, que les pirates ont créées en accédant à ses enregistrements DNS et en remplaçant ses domaines, a entraîné des milliers de dollars perdus. Les fraudeurs ont créé de faux sites Web qui ressemblaient à l'original, et la société n'était pas suffisamment vigilante pour identifier et signaler les escroqueries potentielles.
4. Fournissez une sécurité renforcée à votre passerelle ICO
L'histoire de CoinDash, un ICO extrêmement médiatisé qui a été piraté et a entraîné la perte de 43 000 ETH, est devenu un récit édifiant pour les nouveaux entrants. Les contrats intelligents de l'entreprise ont été sécurisés, mais pas son site Web. En conséquence, les pirates ont changé l'adresse du portefeuille sur la passerelle ICO, et une fois qu'elle a été ouverte au public, les pirates ont volé plus de 7 millions de dollars en moins de sept minutes.
Les pirates ont pu accéder au site Web de l'entreprise grâce à un exploit qui leur a permis de modifier un fichier source, leur accordant un contrôle total à distance sur le site Web. En changeant simplement l'adresse du portefeuille, ils ont pu s'en tirer avec un braquage massif malgré le récent retour de certaines pièces.
La morale de l'histoire de CoinDash est qu'il est de plus en plus populaire de cibler non seulement l'infrastructure de la plupart des ICO, qui ont amélioré leur sécurité, mais plutôt une cible facilement négligée comme un site Web. Dans ce cas, aucun audit de sécurité majeur n'est nécessaire, mais il est essentiel de déployer les bons outils pour sécuriser les passerelles.
L'un des moyens les plus simples et les plus efficaces d'y parvenir est d'implémenter un puissant pare-feu pour applications Web (WAF), tel qu'Incapsula. Les WAF contrôlent le trafic entrant et sortant, offrant aux entreprises un contrôle et une surveillance améliorés de la personne qui accède à leurs fichiers et à leur site Web. Les pare-feu protègent ces portes dérobées des shells de sites Web tout en offrant une protection contre les techniques courantes d'injection de scripts et d'exploitation.
5. Protégez vos utilisateurs
Une ICO réussie n'est pas nécessairement la fin du processus de financement participatif. Une fois que les utilisateurs ont reçu leurs jetons, ils ont également besoin d'accéder aux services qu'ils ont financés. Comme la startup britannique de cryptographie Electroneum l'a appris lorsque leur site Web a été touché par une attaque DDoS qui a privé leurs utilisateurs de leurs comptes, la collecte de fonds n'est que la moitié de la bataille.
Protéger un site Web contre les piratages comme les attaques DDoS implique d'avoir les bons outils en place pour le faire, et les WAF peuvent également remplir cette fonction. De plus, les entreprises doivent toujours faire pression pour les mesures de sécurité les plus strictes pour les utilisateurs, y compris l'authentification à deux facteurs, des notifications constantes pour tout changement et même la tenue de journaux d'activité à des fins de sécurité. La protection des utilisateurs est primordiale et garantir qu'ils ont accès aux services qu'ils ont payés est une nécessité pour éviter les répercussions juridiques.
The Bottom Line
Les ICO sont un outil très efficace pour les startups cherchant à garder le contrôle de leurs activités mais ne sont pas sans risque et omnipotents. Pour garantir le succès, vous devez toujours respecter les meilleures pratiques de sécurité, en déployant des efforts pour garantir que vous êtes aussi sûr que possible et que vos utilisateurs sont également protégés.
