Un nuevo informe de la plataforma de seguridad blockchain Immunefi sugiere que casi la mitad de todas las criptomonedas perdidas por exploits de Web3 se deben a problemas de seguridad de Web2, como claves privadas filtradas. El informe, publicado el 15 de noviembre, analizó el historial de exploits de criptomonedas en 2022, clasificándolos en diferentes tipos de vulnerabilidades. Concluyó que un 46,48% de las criptomonedas perdidas por exploits en 2022 no se debieron a fallas en los contratos inteligentes, sino más bien a "debilidades de infraestructura" o problemas con los sistemas informáticos de la empresa en desarrollo.
Categorías de vulnerabilidades de Web3. Fuente: Immunefi.
Al considerar la cantidad de incidentes en lugar del valor de las criptomonedas perdidas, las vulnerabilidades Web2 fueron una porción más pequeña del total (26,56 %), aunque todavía fueron la segunda categoría más grande.
El informe de Immunefi excluyó las estafas de salida u otros fraudes, así como los ataques que ocurrieron únicamente debido a manipulaciones del mercado. Solo consideró los ataques que ocurrieron debido a una vulnerabilidad de seguridad. De estos, encontró que los ataques se dividen en tres grandes categorías. En primer lugar, algunos ataques ocurren porque el contrato inteligente contiene un fallo de diseño. Immunefi citó el hackeo del puente BNB Chain como un ejemplo de este tipo de vulnerabilidad. En segundo lugar, algunos ataques ocurren porque, aunque el contrato inteligente está bien diseñado, el código que implementa el diseño es defectuoso. Immunefi citó el hackeo de Qbit como un ejemplo de esta categoría.
Por último, una tercera categoría de vulnerabilidad son las “debilidades de infraestructura”, que Immunefi definió como “la infraestructura de TI en la que opera un contrato inteligente, por ejemplo, máquinas virtuales, claves privadas, etc.”. Como ejemplo de este tipo de vulnerabilidad, Immunefi mencionó el hackeo del puente Ronin, que fue causado por un atacante que obtuvo el control de 5 de las 9 firmas de validación de los nodos Ronin.
Immunefi desglosó estas categorías en subcategorías. En lo que respecta a las debilidades de la infraestructura, estas pueden ser causadas por la filtración de una clave privada por parte de un empleado (por ejemplo, al transmitirla a través de un canal inseguro), el uso de una frase de contraseña débil para una bóveda de claves, problemas con la autenticación de dos factores, secuestro de DNS, secuestro de BGP, una vulnerabilidad de billetera activa o el uso de métodos de cifrado débiles y su almacenamiento en texto sin formato.
Si bien estas vulnerabilidades de infraestructura causaron la mayor cantidad de pérdidas en comparación con otras categorías, la segunda causa más importante de pérdidas fueron los "problemas criptográficos", como errores del árbol de Merkle, la capacidad de reproducción de firmas y la generación predecible de números aleatorios. Los problemas criptográficos resultaron en el 20,58% del valor total de las pérdidas en 2022.
Otra vulnerabilidad común fue el “control de acceso débil o inexistente y/o la validación de entrada”, según el informe. Este tipo de falla generó solo el 4,62% de las pérdidas en términos de valor, pero fue la que más contribuyó en términos de número de incidentes, ya que el 30,47% de todos los incidentes fueron causados por ella.
