Введення в безпеку IxO

24.01.2023 Автор: Володимир Булдижов

Що таке ICO, IEO, IDO, IFO, STO та IGO, які там ризики, та як їх знижувати

Сьогодні ви дізнаєтеся, що означають акроніми ICO, IEO, IDO, IFO, STO та IGO, які вони мають особливості, подібності та відмінності. Також ми описали проблеми, інциденти, загрози та вразливості інформаційної безпеки, пов’язані з цими інвестиційними інструментами.

ICO – первинна пропозиція у світі криптовалют

image ICO

Механізм первинної пропозиції активів компанії на біржі виник задовго до появи криптовалют. Будь-яка компанія, що вперше випускає власні акції, проводить IPO (Initial Public Offering) – первинну публічну пропозицію своїх цінних паперів для широкого кола дрібних та великих інвесторів.

Із появою криптовалют перші публічні пропозиції в цьому просторі стали називати ICO (Initial Coin Offering) за аналогією з IPO. Синонімом ICO є краудсейл (crowdsale).

ICO – це емісія (випуск) будь-яким проєктом токенів – аналогів корпоративних акцій у світі блокчейн. Токени також називаються цифровими купонами, оскільки часто використовуються для всіляких знижок, акцій, купівлі послуг тощо.

Ще токени призначені для фінансування проєкту та отримання в майбутньому частини його прибутку, а також для оплати послуг цього проєкту та для інших цілей, пов’язаних із цим проєктом.

Організацію, яка випускає фінансові активи для одержання інвестицій, називають емітентом. Великі проєкти на кшталт Ethereum, Cardano та Neo розпочинали як емітенти ICO. Саме цей вид інвестицій дозволив їм розвинутись до сьогоднішніх масштабів.

Безпека ICO

Разом із вибухом інтересу до криптовалют та ICO, виявились також нові вразливості інформаційної безпеки. Завдяки криптографічній безпеці та децентралізованому характеру технологій блокчейн, атаки безпосередньо на ці технології зазвичай складніші, ніж атаки на традиційні ІТ.

Разом із тим, через незрілість індустрії блокчейну, безпека його супутніх технологій та процесів набагато слабша, ніж, наприклад, у банківській галузі. Як ми писали раніше, темпи зростання збитків від інцидентів у блокчейн більш ніж у 5 разів перевищують темпи зростання збитків від інцидентів у традиційних ІТ.

Одними з найгучніших атак на ICO стали атаки на CoinDash та Bitcoin Gold. У випадку з першим, причиною втрати близько 7 млн USD став недостатній захист веб-застосунку. У випадку з Bitcoin Gold клієнти втратили довіру до проєкту через те, що сайт був недоступний близько 5 годин через DDoS-атаку.

Специфічним ризиком, пов’язаним із токенами, є їхнє заморожування в смарт-контрактах. Усі операції відбуваються на платформі емітента, у браузерах інвесторів та в мережі блокчейн. Тому проблеми з безпекою та фінансові втрати можуть виникати як у інвесторів, так і в емітента.

Нарешті, простота випуску токенів призводить до високих ризиків шахрайства та інших порушень із боку емітентів: скама, рагпуллів, нецільового використання коштів інвесторів тощо.

IEO – варіант ICO під керівництвом криптобіржі

image IEO

IEO (Initial Exchange Offering) – це захід зі збору коштів, коли крипто-стартапи збирають гроші через централізовану торгову платформу – централізовану криптобіржу (CEX). Криптобіржі організовані на кшталт традиційних фондових бірж.

При ICO бізнес намагається викликати інтерес до свого проєкту на власному веб-сайті. На відміну від ICO, де внески акціонерів спрямовуються на смарт-контракти емітента, при IEO учасники (інвестори) надсилають свою криптовалюту на платформу біржі. CEX стягує зі стартапу комісію, а також залишає собі певну частку проданих токенів.

Іншими словами, криптобіржа проводить IEO від імені стартапу. Це допомагає підвищити його авторитет в очах інвесторів. Після завершення IEO токени розміщуються на біржі, тобто включаються до її лістингу. Стартапи можуть використовувати великі клієнтські бази бірж, щоб залучати інтерес інвесторів.

Binance Launchpad була однією з перших платформ IEO. Багато конкуруючих криптобірж швидко наслідували її приклад і розробили свої платформи IEO.

Безпека IEO

Найбільшою перевагою IEO є підвищена прозорість та довіра. Оскільки продаж токенів здійснюється регульованою криптобіржею, ймовірність шахрайства набагато нижча, ніж за ICO, оскільки авторитетні платформи проводять власну комплексну перевірку проєкту, перш ніж пропонувати його користувачам.

IEO вважаються надійнішими, ніж ICO. Інвестори, зацікавлені у проєкті, повинні пройти через процедуру «Знай свого клієнта» (KYC) та процедуру боротьби з відмиванням грошей (AML), перш ніж отримати доступ до проєкту. При цьому IEO можуть бути пов’язані з вищими витратами для стартапів в обмін на підвищену прозорість.

З іншого боку, ймовірність шахрайства та злому в IEO далеко не нульова. Безпека IEO та його токенів не вища за безпеку самої біржі CEX, на якій це IEO відбувається, і на якій ці токени листяться, тобто включені до біржового списку активів, допущених до торгів. У разі критичних уразливостей у серверному або клієнтському програмному забезпеченні біржі, IEO та токени також можуть стати вразливими.

Наприклад, 2020 року біржа KuCoin стала об’єктом злому. Злочинцям вдалося вкрасти 281 млн USD і отримати ключі від деяких гарячих гаманців на біржі. Хоча KuCoin швидко заблокувала всі транзакції на своєму веб-сайті, цей випадок став одним із найбільших порушень в історії криптовалют.

IDO – збір коштів через децентралізовану біржу

image IDO

Із розвитком технологій блокчейн стали з’являтися інші способи пропозиції криптовалютних активів.

IDO (Initial DEX Offering) – це збір коштів, який допомагає проєкту випустити свій токен через децентралізовану біржу ліквідності (DEX). Ця технологія є частиною більш загальної концепції розподілених фінансів (DeFi).

На відміну від CEX, програмне забезпечення (смарт-контракти) DEX працює не на конкретних серверах біржі, а розподіленим чином у мережі блокчейн. DEX, на відміну від CEX, є повноцінною розподіленою блокчейн-біржею, що повною мірою реалізує ідеї незалежності та автономності блокчейну.

IDO має деякі властивості ICO та IEO, проте основна особливість DEX у тому, що ця біржа не зберігає кошти користувачів і не контролює угоди. Користувач переказує кошти безпосередньо зі свого криптогаманця на смарт-контракти платформи. Управління токенами здійснюється смарт-контрактами DEX автоматично. Іноді, для прийняття важливих рішень, адміністратори біржі організовують для її учасників голосування. DEX, на відміну від CEX, не перевіряє та не верифікує користувачів.

Перше IDO було виконане Raven Protocol у червні 2019 року на Binance DEX.

Безпека IDO

Порівняно з CEX, проєкти та учасники DEX отримують більш високу конфіденційність, захист коштів від конфіскації, заморожування, регуляторних обмежень тощо. Проте загалом на сьогодні ризики DEX набагато вищі, ніж у CEX.

Через те, що DEX працюють у “сірій зоні” з точки зору законів багатьох країн, ці біржі використовуються злочинцями для відмивання грошей. Це викликає низку специфічних ризиків та обмежень, пов’язаних із правоохоронними органами, навіть якщо ви не злочинець.

Через знижений централізований контроль, у DEX набагато вищі ризики шахрайства, ніж у CEX. Так само, як і з некастодіальними гаманцями, тим, хто схильний забувати або губити свої паролі та ключі, слід остерігатися бірж DEX, оскільки вони не можуть допомогти у відновленні цих облікових даних.

Окрема група ризиків DEX обумовлена відносною незрілістю технологій розподілених бірж. Вразливості в програмному забезпеченні або протоколах DEX дуже рідкісні та екзотичні. Однак, якщо вони виявляються, то під загрозою одразу опиняються всі кошти, що проходять через біржу.

Однією з найпоширеніших загроз, пов’язаних з DEX, є MEV-боти. Поняття MEV (Maximum Extractable Value) означає максимальний прибуток, який майнер може отримати за рахунок включення, виключення або зміни порядку транзакцій у блоці блокчейну, до його підтвердження. Через це майнери намагаються підлаштувати порядок блоків таким чином, щоб отримати найбільшу вигоду. Такі дії спричиняють підвищення комісії транзакцій. Спеціальні боти, які відстежують непідтверджені транзакції, ініціюють операцію з підвищення ціни прямо перед проведенням транзакції. Цим вони стягують “невидимий податок” із користувача, який нічого не підозрює.

Однією з великих атак MEV-ботів став інцидент із компанією Twitter. Про нього повідомив співробітник дослідницької фірми Flashbots. Тоді MEV-бот заробив на арбітражних угодах до 800 ETH на суму близько 1 млн USD. Все закінчилося тим, що самого бота зламали того ж дня. Хакер знайшов уразливість у коді та авторизував транзакцію, тим самим бот втратив близько 1101 ETH.

Можна знайти чимало цікавих випадків інших великих атак, пов’язаних із DEX.

У березні 2021 року PancakeSwap та Cream Finance повідомили про атаку на DNS. У тому ж місяці ще один експлойт коштував користувачам DODO 3,8 млн USD. Вже в листопаді 2021 року біржа MonoX зазнала кібератаки, внаслідок якої збитки становили близько 31 млн USD. Також великими зламами, які призвели до втрат мільйонів доларів, стали інциденти з MakerDAO, Eminence, bZx, Lendf.me, PAID Network, Harvest та Pinckle Finance.

Через ці та інші великі крадіжки, що відбулися на DEX і DeFi, велика кількість користувачів все ще віддають перевагу централізованим біржам.

Таким чином, використання DEX та DeFi вимагає особливої обережності та відповідальності з боку кожного користувача. Іншими словами, децентралізовані біржі більше призначені для досвідчених користувачів та тих, хто не боїться сам нести відповідальність за безпеку своїх фінансів.

IFO – найсучасніша модель краудсейлу

image IFO

IFO (Initial Farm Offering) – це модель збору коштів, яка допомагає новим проєктам DeFi залучати капітал шляхом участі в передпродажних заходах, які проводяться після ретельної перевірки проєктів адміністраторами децентралізованих бірж. Цю технологію часто розглядають як еволюцію всіх попередніх і вважають однією з найнадійніших і найсучасніших.

Як і у випадку з IEO, при запуску IFO, біржа виступає посередником між проєктом та інвесторами та обов’язково проводить аудит самого проєкту для відсіювання шахраїв.

Найбільш поширеною платформою для IFO є PancakeSwap. Користувачі PancakeSwap отримують винагороду у вигляді токенів та цифрових валют, а власники нових проєктів користуються пулом ліквідності, запропонованим платформою. Більшість токенів IFO управляється співтовариством і практично не контролюється будь-яким центральним органом.

Безпека IFO

Платформа IFO інтегрована з висококласними протоколами та алгоритмами безпеки, наприклад, захистом умовного депонування. При цьому третя сторона виступає в якості гаранта та утримує активи або послуги двох сторін, які здійснюють угоду. Такий підхід допомагає безпечно здійснювати угоди без ризику, коли одна зі сторін може нечесно вчинити з іншою.

Незважаючи на це, безпеку IFO не можна вважати ідеальною. Наприклад, хоч і PancakeSwap проходила аудити безпеки від таких компаній як CertiK та Slowmist, у 2021 році шахраї вивели активи на 1,8 млн USD із лотерейного пулу торгової платформи.

STO – токени безпеки

image STO

Вище в цій статті йшлося в основному про утилітарні токени (utility tokens, службові токени) і платіжні токени (власне, криптовалюти). У світі Web3 існують також інші види токенів. Ми маємо на увазі стейблкоіни, NFT, мем-токени, токени DeFi, біржові токени, токени конфіденційності, а також токени безпеки. На останніх зупинимося докладніше.

STO (Security Token Offering) – це особливий тип публічної пропозиції, при якій токенізовані цифрові цінні папери, відомі як токени безпеки, продаються на криптобіржах і навіть на окремих біржах токенів безпеки.

Security-токени відрізняються від утилітарних токенів, головним чином тим, що відображають частку бізнесу, як правило, офлайнового, що випускає публічні активи. По суті, токени безпеки – це щось середнє між традиційними “паперовими” фондовими акціями та утилітарними крипто-токенами.

Токени безпеки працюють у блокчейні, при цьому регулюються державою. Тому їх було б правильніше називати українською “регульованими забезпеченими токенами”.

Інвестиції в токени безпеки орієнтовані суто на отримання прибутку зовнішніми інвесторами. Водночас, утилітарні токени в стандартному контексті призначені, в першу чергу, для службового використання всередині своїх онлайн-проєктів.

Компанії, що випускають security-токени, зобов’язані відповідати певним нормам та надавати звітність. Технологія STO передбачає випуск цифрових активів відповідно до вимог законодавства про цінні папери.

Токени STO націлені на акредитованих інвесторів. Якщо брати за приклад законодавство США, до них пред’являється чимало вимог. Є безліч технічних деталей, які необхідно знати як організаторам для залучення коштів у свій проєкт, так і інвесторам – для правильної участі в STO.

Найбільш відомими платформами STO є BnkToTheFuture, StartEngine, SPICE VC, NeuFund ETO.

Безпека STO

Токени безпеки мають мало спільного з кібербезпекою, оскільки йдеться суто про інвестиційну безпеку.

Security-токени вирішують проблему гарантій компенсацій у разі провалу проєкту чи шахрайства з боку організаторів. Ще вони слугують інструментом страховки від можливих ризиків за такої інвестиційної стратегії, як SAFT (Проста угода щодо майбутніх токенів). Така модель дає інвесторам можливість придбати токени вже після запуску проєкту. Вона здається безпечнішою, але має свої інвестиційні ризики. Наприклад, вкладення інвестицій не в самі токени, а в обіцянку отримати їх у майбутньому.

У той же час, токени безпеки, як і будь-які інші токени, можуть бути втрачені, вкрадені або навіть зламані. Оскільки токен безпеки – це інструмент, що програмується, він може містити вразливості в коді програми. Багато хто вважає, що його неможливо змінити або вкрасти, проте шахраї можуть отримати доступ до особистого кабінету біржі, де ви зберігаєте свої security-токени.

IGO – отримайте токени, граючи

image IGO

IGO (Initial Game Offering) – це остання тенденція у світі первинних пропозицій криптовалютних акцій. Єдина відмінність від IDO полягає в тому, що для IGO використовуються ігрові проєкти, що базуються на NFT або внутрішньоігровій валюті.

Інвестори вкладають свої кошти в такі ігрові проєкти та можуть розраховувати на значну рентабельність інвестицій, як тільки ігровий проєкт запуститься на великих криптовалютних біржах або набуде значної популярності в ігровій спільноті.

Із появою блокчейн-ігор IGO стають наступною важливою технологією в крипто-просторі. Такі ігри, як Axie Infinity, CryptoBlades та Alien Worlds, щодня відвідують тисячі людей. Серед них нині лідирує Axie Infinity, обсяги продажу якої становлять понад 1,1 млрд USD.

Через такий ажіотаж навколо первинних пропозицій ігор з’явилося кілька популярних стартових майданчиків IGO. Найбільш популярні з них – Gamefi, Enjinstarter, Gamestarter та Seedify.fund.

Безпека IGO

Оскільки IGO практично є одним із підвидів IDO, про які ми писали вище, безпека IGO заснована на безпеці децентралізованих бірж.

На сьогодні, кількість кіберзлочинів та втрачених інвесторами коштів у IDO та IGO більша за будь-яку іншу сферу цифрового інвестування. Наприклад, у квітні 2022 року ми писали про великий злам Axie Infinity на 625 млн USD.

Загальні поради щодо безпеки токенів

image security

Щодня фахівці з безпеки, програмісти та хакери з усього світу знаходять нові вразливості у програмному забезпеченні. Щодня у світі з’являються нові токени, багато з яких є шахрайськими. Щодня хтось робить помилки: забуває паролі, виконує неправильні транзакції, заражається комп’ютерними вірусами, піддається на фішинг тощо.

Щоб убезпечити свої кошти, зверніть увагу на наші поради щодо безпеки криптовалют та криптогаманців.

Щоб бути повністю впевненим у конкретній платформі чи цілій технології, які ви збираєтеся використати, потрібно проводити їхній ретельний аналіз.

Як і в разі будь-яких інвестицій, існують прості практичні поради:

1. Використовуйте правильні посилання для підписок. Шахраї можуть скористатися ажіотажем, хвилюванням і метушнею, щоб залучати вас на підроблені сторінки підписок. Будь-яка криптовалюта, яку ви переведете через сторінку шахраїв, буде безповоротно втрачена.

2. Використовуйте довірену та вивчену вами панель запуску. Кожен стартовий майданчик повинен дотримуватись правил та норм інформаційної безпеки, таких як GDPR, для захисту даних своїх клієнтів. Також стартовий майданчик повинен забезпечувати процес KYC (“Знай свого клієнта”) для зниження ймовірності шахрайства. Прикладами популярних майданчиків запуску є BullStarter, Polkastarter, Red Kite, BSC Pad.

3. Вивчіть проєкт, у який ви інвестуєте. Він належить вже відомій та надійній команді? Чи буде доступний проєкт для використання одразу після запуску? Питання, подібні до цих, можуть допомогти вам визначити ймовірність можливих махінацій.

4. Ознайомтеся з умовами участі. Ви можете отримати свої токени із затримкою, або вони можуть бути навіть заблоковані на якийсь час. Ви повинні досконально розумітися на токеноміці проєкту, в якому берете участь.

5. Інвестуйте лише те, що ви можете дозволити собі втратити. Під впливом азарту можна інвестувати більше коштів, ніж необхідно. Не забувайте, що індустрія токенів все ще пов’язана з ризиком. Навіть при ретельному вивченні ви все одно можете стати жертвою шахрайства, обману, власної помилки, програмного збою, зламу, витоку чи інших інцидентів.

Щоб покращити безпеку ваших проєктів IxO, ви можете звернутися до нас для проведення комплексного тестування на проникнення, аудиту безпеки смарт-контрактів або інших видів оцінки інформаційної безпеки.

Висновок

image conclusion

Тепер, коли ви знаєте, що означають терміни ICO, IDO, STO, IEO, IFO, IGO, і які вони мають особливості роботи та безпеки, ви зможете знизити ризики при створенні свого стартапу, вибравши відповідну технологію або платформу, або стати інвестором чи користувачем молодих та перспективних проєктів.

Крім розглянутих нами видів токенів і первинних пропозицій, існують також менш поширені їхні види: INO (Initial NFT Offering), LBP (Liquidity Bootstrapping Pool), SHO (Strong Holders Offering) і навіть ITO (Initial Twitter Offering). Якщо вам цікаво розглянути ці види токенів, ми розповімо про них в одній із наших майбутніх статей.

Якщо у вас виникнуть питання з безпеки токенів, первинних розміщень, смарт-контрактів або будь-яких інших технологій блокчейн і Web3, ви завжди можете звернутися за безкоштовною консультацією до наших фахівців.

Підпишіться на наш канал Телеграм, щоб не пропустити нові статті нашого блогу.

Інші записи

21/09/2024
Кібербезпека, ІБ, безпека ІТ – у чому різниця?
08/08/2024
Уроки кібервійни з України