Ein neuer Bericht der Blockchain-Sicherheitsplattform Immunefi legt nahe, dass fast die Hälfte aller durch Web3-Exploits verlorenen Kryptowährungen auf Web2-Sicherheitsprobleme wie durchgesickerte private Schlüssel zurückzuführen ist. Der am 15. November veröffentlichte Bericht blickte auf die Geschichte der Krypto-Exploits im Jahr 2022 zurück und kategorisierte sie in verschiedene Arten von Schwachstellen. Er kam zu dem Schluss, dass ganze 46,48 % der durch Exploits im Jahr 2022 verlorenen Kryptowährungen nicht auf Smart-Contract-Fehler, sondern eher auf „Infrastrukturschwächen“ oder Probleme mit den Computersystemen des entwickelnden Unternehmens zurückzuführen waren.

Kategorien von Web3-Schwachstellen. Quelle: Immunefi.

Betrachtet man die Anzahl der Vorfälle statt des Werts der verlorenen Kryptowährungen, machten Web2-Schwachstellen mit 26,56 % einen kleineren Anteil der Gesamtzahl aus, obwohl sie immer noch die zweitgrößte Kategorie darstellten.

Der Bericht von Immunefi schloss Exit-Scams oder andere Betrügereien sowie Exploits aus, die ausschließlich aufgrund von Marktmanipulationen auftraten. Er berücksichtigte nur Angriffe, die aufgrund einer Sicherheitslücke auftraten. Dabei stellte er fest, dass die Angriffe in drei große Kategorien eingeteilt werden können. Erstens treten einige Angriffe auf, weil der Smart Contract einen Konstruktionsfehler aufweist. Immunefi nannte den BNB Chain Bridge Hack als Beispiel für diese Art von Schwachstelle. Zweitens treten einige Angriffe auf, weil der Smart Contract zwar gut konstruiert ist, der Code, der das Design implementiert, jedoch fehlerhaft ist. Immunefi nannte den Qbit-Hack als Beispiel für diese Kategorie.

Schließlich gibt es noch eine dritte Kategorie von Schwachstellen: „Infrastrukturschwächen“, die Immunefi als „die IT-Infrastruktur, auf der ein Smart Contract läuft – zum Beispiel virtuelle Maschinen, private Schlüssel usw.“ definiert. Als Beispiel für diese Art von Schwachstelle führte Immunefi den Ronin Bridge Hack an, der dadurch verursacht wurde, dass ein Angreifer die Kontrolle über 5 von 9 Ronin-Node-Validatorsignaturen erlangte.

Immunefi hat diese Kategorien noch weiter in Unterkategorien unterteilt. Bei Infrastrukturschwächen können diese dadurch verursacht werden, dass ein Mitarbeiter einen privaten Schlüssel preisgibt (zum Beispiel durch die Übertragung über einen unsicheren Kanal), eine schwache Passphrase für einen Schlüsseltresor verwendet, Probleme mit der Zwei-Faktor-Authentifizierung auftreten, DNS-Hijacking, BGP-Hijacking, ein Hot Wallet-Angriff oder die Verwendung schwacher Verschlüsselungsmethoden und deren Speicherung im Klartext.

Während diese Infrastrukturschwachstellen im Vergleich zu anderen Kategorien die größten Verluste verursachten, waren die zweithäufigsten Verlustursachen „kryptografische Probleme“ wie Merkle-Baumfehler, Signaturwiederholbarkeit und vorhersehbare Zufallszahlengenerierung. Kryptografische Probleme verursachten 20,58 % des Gesamtwerts der Verluste im Jahr 2022.

Eine weitere häufige Schwachstelle sei „schwache/fehlende Zugriffskontrolle und/oder Eingabevalidierung“, heißt es in dem Bericht. Diese Art von Fehler führte zwar nur zu 4,62 % der Wertverluste, war aber gemessen an der Anzahl der Vorfälle der größte Faktor, da 30,47 % aller Vorfälle darauf zurückzuführen waren.