Um novo relatório da plataforma de segurança de blockchain Immunefi sugere que quase metade de todas as criptomoedas perdidas em exploits da Web3 se deve a problemas de segurança da Web2, como chaves privadas vazadas. O relatório, divulgado em 15 de novembro, analisou o histórico de exploits de criptomoedas em 2022, categorizando-os em diferentes tipos de vulnerabilidades. Concluiu que 46,48% das criptomoedas perdidas em exploits em 2022 não foram por falhas de contrato inteligente, mas sim por "fraquezas de infraestrutura" ou problemas com os sistemas de computador da empresa em desenvolvimento.
Categorias de vulnerabilidades Web3. Fonte: Immunefi.
Ao considerar o número de incidentes em vez do valor da criptomoeda perdida, as vulnerabilidades da Web2 foram uma parcela menor do total, 26,56%, embora ainda fossem a segunda maior categoria.
O relatório da Immunefi excluiu golpes de saída ou outras fraudes, bem como explorações que ocorreram apenas por causa de manipulações de mercado. Ele considerou apenas ataques que ocorreram por causa de uma vulnerabilidade de segurança. Destes, ele descobriu que os ataques se enquadram em três categorias amplas. Primeiro, alguns ataques ocorrem porque o contrato inteligente contém uma falha de design. A Immunefi citou o hack da ponte BNB Chain como um exemplo desse tipo de vulnerabilidade. Segundo, alguns ataques ocorrem porque, embora o contrato inteligente seja bem projetado, o código que implementa o design é falho. A Immunefi citou o hack da Qbit como um exemplo dessa categoria.
Finalmente, uma terceira categoria de vulnerabilidade é “fraquezas de infraestrutura”, que a Immunefi definiu como “a infraestrutura de TI na qual um contrato inteligente opera — por exemplo, máquinas virtuais, chaves privadas, etc.” Como exemplo desse tipo de vulnerabilidade, a Immunefi listou o hack da ponte Ronin, que foi causado por um invasor que obteve o controle de 5 das 9 assinaturas do validador de nós Ronin.
A Immunefi dividiu essas categorias em subcategorias. Quando se trata de fraquezas de infraestrutura, elas podem ser causadas por um funcionário vazando uma chave privada (por exemplo, transmitindo-a por um canal inseguro), usando uma frase-senha fraca para um cofre de chaves, problemas com autenticação de dois fatores, sequestro de DNS, sequestro de BGP, comprometimento de uma carteira quente ou usando métodos de criptografia fracos e armazenando-os em texto simples.
Embora essas vulnerabilidades de infraestrutura tenham causado a maior quantidade de perdas em comparação a outras categorias, a segunda maior causa de perdas foram “problemas criptográficos”, como erros de árvore Merkle, repetibilidade de assinatura e geração previsível de números aleatórios. Problemas criptográficos resultaram em 20,58% do valor total de perdas em 2022.
Outra vulnerabilidade comum era “controle de acesso fraco/ausente e/ou validação de entrada”, afirmou o relatório. Esse tipo de falha resultou em apenas 4,62% das perdas em termos de valor, mas foi o maior contribuidor em termos de número de incidentes, já que 30,47% de todos os incidentes foram causados por ela.
