这项研究对2017年的ICO项目进行统计分析，发现去年ICO的总投资超过了50亿美元，预计今年还会更多。由于牵涉到大量资金，所以ICO成为了网络犯罪分子的主要目标：报告显示，去年被盗的ICO资金占到7%（3亿美元）。

这份报告指出，去年ICO项目中，有71%的测试项目中存在智能合约漏洞。我们知道，智能合约是ICO的灵魂，一旦启动就无法改变并向所有人开放，这意味着任何人都能查看并寻找其中的缺陷。

所有ICO移动应用都很脆弱

研究人员表示，所有ICO企业在2017年推出的移动应用都存在安全漏洞。好消息是，并非所有ICO企业都发布了移动应用程序，但是那些发布了的人并没有保护其移动应用免受攻击。

研究团队在ICO移动应用中发现的漏洞数量是ICO官方Web应用中漏洞的2.5倍。最常见的漏洞包括不安全的数据传输、用户数据在电话备份中的存储以及会话ID泄漏，这些都能令攻击者劫持并用来攻击用户。

研究人员表示：这些漏洞有利于攻击者窃取ICO项目企业和投资者的详细信息，从而在后续中利用这些信息发起攻击。

1/3的漏洞出现在ICO Web应用中

研究人员还在一些能让用户存放资金并购买ICO代币的ICO Web应用中发现很多安全漏洞。

这些Web应用容易受到相同类型的漏洞攻击，比如代码注入、Web服务器敏感信息泄露、不安全的数据传输以及任意文件读取等。

研究显示，有1/3的ICO安全漏洞都与其Web应用相关联。

研究人员发现的其他方面的安全漏洞，都与ICO投资者和ICO基础设施有关。

研究者认为，ICO企业通常没有为其项目注册社交媒体账户，也没能注册ICO域名的所有版本，从而使得用户受到了社工和网络钓鱼攻击。

最后同样重要的一点是，ICO企业往往没有为敏感账户启用双因素/多因素身份认证，导致攻击者通过社工和钓鱼攻击窃取账户信息，从而劫持官方ICO网站或取得钱包的控制权。

据悉，在这篇报告中提到的5个主要安全漏洞中，有两个都与身份易被窃取有关，即ICO企业和投资者方面都存在这样的漏洞，这也提醒相关ICO企业一定要启用双因素/多因素身份认证，以便为项目及其用户把好可信身份认证这一重要关卡。

当然，之前的一项研究还发现，有81%的ICO项目都属于诈骗，这或许可以一定程度上解释为什么大多数ICO企业不会为安全问题而烦恼吧。