ブロックチェーンセキュリティプラットフォームImmunefiの新しいレポートによると、Web3エクスプロイトで失われた仮想通貨のほぼ半分は、秘密鍵の漏洩などのWeb2セキュリティの問題によるものだという。11月15日に発表されたこのレポートは、2022年の仮想通貨エクスプロイトの歴史を振り返り、それらをさまざまな種類の脆弱性に分類した。2022年にエクスプロイトで失われた仮想通貨の46.48%は、スマートコントラクトの欠陥ではなく、「インフラストラクチャの弱点」または開発会社のコンピューターシステムの問題によるものだと結論付けた。
Web3脆弱性のカテゴリー。出典: Immunefi。
失われた暗号の価値ではなく、事件の数を考慮した場合、Web2の脆弱性は全体の26.56%の小さな部分でしたが、それでも第二の大きなカテゴリーでした。
Immunefiの報告書は、出口詐欺やその他の詐欺、ならびに市場操作のみで発生した悪用を除外しました。セキュリティの脆弱性によって発生した攻撃のみを考慮しました。これらの中で、攻撃は3つの広いカテゴリーに分類されることがわかりました。まず、スマートコントラクトに設計上の欠陥があるために発生する攻撃があります。Immunefiはこのタイプの脆弱性の例としてBNBチェーンブリッジハックを挙げました。第二に、スマートコントラクトがうまく設計されているにもかかわらず、設計を実装するコードに欠陥があるために発生する攻撃があります。Immunefiはこのカテゴリーの例としてQbitハックを挙げました。
最後に、脆弱性の第三のカテゴリーは「インフラストラクチャの弱点」であり、Immunefiはこれを「スマートコントラクトが動作するITインフラストラクチャ—例えば、仮想マシン、プライベートキーなど」と定義しています。このタイプの脆弱性の例として、Immunefiは攻撃者が9つのRoninノードのバリデーター署名のうち5つを制御することによって引き起こされたRoninブリッジハックを挙げました。
Immunefiはこれらのカテゴリーをさらにサブカテゴリーに分解しました。インフラストラクチャの弱点に関しては、従業員がプライベートキーを漏洩すること(例えば、安全でないチャネルを介して送信すること)、キーボルトに対して弱いパスフレーズを使用すること、2要素認証の問題、DNSハイジャック、BGPハイジャック、ホットウォレットの侵害、または弱い暗号化手法を使用し、それらをプレーンテキストで保存することによって引き起こされる可能性があります。
これらのインフラストラクチャの脆弱性は、他のカテゴリーと比較して最も多くの損失を引き起こしましたが、損失の第二の原因は「暗号問題」、例えばMerkleツリーエラー、署名のリプレイ性、予測可能な乱数生成などでした。暗号問題は、2022年の損失の総価値の20.58%をもたらしました。
もう一つの一般的な脆弱性は「弱い/不十分なアクセス制御および/または入力検証」であると報告書は述べています。このタイプの欠陥は、価値の面での損失のわずか4.62%をもたらしましたが、事例の数の観点からは最大の寄与者であり、すべての事例の30.47%がこれによって引き起こされました。
