Новий звіт платформи безпеки блокчейну Immunefi показує, що майже половина всієї криптовалюти, втраченої через експлойти Web3, пов’язана з проблемами безпеки Web2, такими як витік приватних ключів. У звіті, опублікованому 15 листопада, розглядається історія використання криптовалюти в 2022 році, класифікуючи їх за різними типами вразливостей. Було зроблено висновок, що 46,48% криптовалюти, втраченої через експлойти у 2022 році, були не через недоліки смарт-контрактів, а скоріше через «слабкі місця інфраструктури» або проблеми з комп’ютерними системами фірми, що розвивається.
Якщо розглядати кількість інцидентів, а не вартість втраченої криптовалюти, уразливості Web2 становили меншу частину від загальної кількості – 26,56%, хоча вони все ще були другою за величиною категорією.
Звіт Immunefi виключив шахрайство з виходом або інше шахрайство, а також експлойти, які сталися виключно через маніпуляції на ринку. Він розглядав лише атаки, які сталися через вразливість безпеки. З них було виявлено, що атаки поділяються на три великі категорії. По-перше, деякі атаки відбуваються через те, що смарт-контракт містить дефект дизайну. Immunefi навів злом BNB Chain bridge як приклад такого типу вразливості. По-друге, деякі атаки відбуваються через те, що, незважаючи на те, що смарт-контракт розроблено добре, код, який реалізує дизайн, має недоліки. Як приклад цієї категорії Immunefi навів злом Qbit.
Нарешті, третя категорія вразливості — це «слабкі місця інфраструктури», які Immunefi визначив як «ІТ-інфраструктуру, на якій діє смарт-контракт — наприклад, віртуальні машини, закриті ключі тощо». Як приклад такого типу вразливості Immunefi перерахував злом Ronin bridge, який був спричинений тим, що зловмисник отримав контроль над 5 із 9 сигнатур перевірки вузлів Ronin.
За темою: дебати щодо Uniswap DAO показують, що розробникам все ще важко забезпечити міжланцюгові мости
Immunefi розбив ці категорії на підкатегорії. Що стосується недоліків інфраструктури, вони можуть бути спричинені витоком приватного ключа співробітником (наприклад, шляхом передачі його через незахищений канал), використанням слабкої парольної фрази для сховища ключів, проблемами з 2-факторною автентифікацією, викраденням DNS,Викрадення BGP, компрометація гарячого гаманця або використання слабких методів шифрування та збереження їх у відкритому тексті.
Хоча ці вразливості інфраструктури спричинили найбільшу кількість втрат порівняно з іншими категоріями, другою за величиною причиною втрат були «криптографічні проблеми», такі як помилки дерева Merkle, можливість відтворення підпису та передбачувана генерація випадкових чисел. Проблеми з криптографією спричинили 20,58% від загальної вартості втрат у 2022 році.
Іншою поширеною вразливістю є «слабкий/відсутній контроль доступу та/або перевірка введення», зазначено у звіті. Цей тип дефекту спричинив лише 4,62% втрат у вартісному вираженні, але він був найбільшим учасником з точки зору кількості інцидентів, оскільки 30,47% усіх інцидентів були спричинені ним.
