Nová zpráva od blockchainové bezpečnostní platformy Immunefi naznačuje, že téměř polovina všech krypto ztracených kvůli zneužití Web3 je způsobena bezpečnostními problémy Web2, jako jsou úniky soukromých klíčů. Zpráva vydaná 15. listopadu se ohlédla na historii krypto exploitů v roce 2022 a rozdělila je do různých typů zranitelností. Dospěl k závěru, že celých 46,48 % krypto ztracených kvůli exploitům v roce 2022 nepocházelo z chyb v inteligentních smlouvách, ale spíše z „slabých míst infrastruktury“ nebo problémů s počítačovými systémy vyvíjející se firmy.
Kategorie zranitelností Web3. Zdroj: Immunefi.
Když vezmeme v úvahu počet incidentů namísto hodnoty ztracených kryptoměn, zranitelnosti Web2 tvořily menší část z celkového počtu 26,56 %, ačkoli stále byly druhou největší kategorií.
Zpráva Immunefi vylučovala únikové podvody nebo jiné podvody, stejně jako exploity, ke kterým došlo výhradně kvůli manipulaci s trhem. Zohlednil pouze útoky, ke kterým došlo kvůli bezpečnostní chybě. Z nich zjistil, že útoky spadají do tří širokých kategorií. Za prvé, k některým útokům dochází proto, že inteligentní smlouva obsahuje konstrukční chybu. Immunefi jako příklad tohoto typu zranitelnosti uvedlo hackování řetězového mostu BNB. Za druhé, k některým útokům dochází proto, že i když je inteligentní kontrakt navržen dobře, kód implementující návrh je chybný. Immunefi jako příklad této kategorie uvedl hack Qbit.
Konečně třetí kategorií zranitelnosti jsou „slabé stránky infrastruktury“, které Immunefi definovalo jako „IT infrastruktura, na které funguje inteligentní smlouva – například virtuální stroje, soukromé klíče atd. Jako příklad tohoto typu zranitelnosti Immunefi uvedlo hackování mostu Ronin, které bylo způsobeno útočníkem, který získal kontrolu nad 5 z 9 podpisů validátoru uzlů Ronin.
Immunefi rozdělila tyto kategorie dále na podkategorie. Pokud jde o slabiny infrastruktury, mohou být způsobeny únikem soukromého klíče ze strany zaměstnance (například jeho přenosem přes nezabezpečený kanál), použitím slabé přístupové fráze pro trezor klíčů, problémy s dvoufaktorovou autentizací, únosem DNS, Únos BGP, kompromitace hot peněženky nebo použití slabých metod šifrování a jejich uložení v prostém textu.
Zatímco tyto zranitelnosti infrastruktury způsobily největší množství ztrát ve srovnání s jinými kategoriemi, druhou největší příčinou ztrát byly „kryptografické problémy“, jako jsou chyby Merkleho stromu, znovuhratelnost signatur a předvídatelné generování náhodných čísel. Kryptografické emise měly za následek 20,58 % z celkové hodnoty ztrát v roce 2022.
Další běžnou zranitelností bylo „slabé/chybějící řízení přístupu a/nebo ověření vstupu,“ uvádí zpráva. Tento typ závady měl za následek pouze 4,62 % ztrát z hlediska hodnoty, ale byl největším přispěvatelem z hlediska počtu incidentů, protože 30,47 % všech incidentů bylo způsobeno právě tímto.
