Новый отчет платформы безопасности блокчейна Immunefi предполагает, что почти половина всех потерь криптовалюты от эксплойтов Web3 вызвана проблемами безопасности Web2, такими как утечка закрытых ключей. Отчет, опубликованный 15 ноября, проанализировал историю эксплойтов криптовалют в 2022 году, классифицировав их по различным типам уязвимостей. В нем сделан вывод о том, что целых 46,48% потерь криптовалюты от эксплойтов в 2022 году были связаны не с недостатками смарт-контрактов, а скорее с «слабостями инфраструктуры» или проблемами с компьютерными системами компании-разработчика.
Категории уязвимостей Web3. Источник: Immunefi.
Если рассматривать количество инцидентов, а не стоимость потерянной криптовалюты, то уязвимости Web2 составили меньшую долю от общего числа — 26,56%, хотя они по-прежнему оставались второй по величине категорией.
Отчет Immunefi исключил экзит-скамы или другие виды мошенничества, а также эксплойты, которые произошли исключительно из-за рыночных манипуляций. Он рассматривал только атаки, которые произошли из-за уязвимости безопасности. Из них он обнаружил, что атаки делятся на три широкие категории. Во-первых, некоторые атаки происходят из-за того, что смарт-контракт содержит ошибку проектирования. Immunefi привел взлом BNB Chain bridge в качестве примера этого типа уязвимости. Во-вторых, некоторые атаки происходят из-за того, что, хотя смарт-контракт разработан хорошо, код, реализующий дизайн, имеет недостатки. Immunefi привел взлом Qbit в качестве примера этой категории.
Наконец, третья категория уязвимостей — «слабости инфраструктуры», которые Immunefi определяет как «ИТ-инфраструктуру, на которой работает смарт-контракт, например, виртуальные машины, закрытые ключи и т. д.». В качестве примера этого типа уязвимости Immunefi приводит взлом моста Ronin, который был вызван получением злоумышленником контроля над 5 из 9 подписей валидаторов узлов Ronin.
Immunefi разбила эти категории на подкатегории. Что касается слабостей инфраструктуры, то они могут быть вызваны утечкой закрытого ключа сотрудником (например, путем передачи его по незащищенному каналу), использованием слабой парольной фразы для хранилища ключей, проблемами с двухфакторной аутентификацией, перехватом DNS, перехватом BGP, компрометацией горячего кошелька или использованием слабых методов шифрования и хранением их в виде открытого текста.
Хотя эти уязвимости инфраструктуры вызвали наибольшее количество потерь по сравнению с другими категориями, второй по величине причиной потерь стали «криптографические проблемы», такие как ошибки дерева Меркла, воспроизводимость подписей и предсказуемая генерация случайных чисел. Криптографические проблемы привели к 20,58% от общей стоимости потерь в 2022 году.
Другой распространенной уязвимостью был «слабый/отсутствующий контроль доступа и/или проверка ввода», говорится в отчете. Этот тип уязвимости привел только к 4,62% потерь в стоимостном выражении, но он был самым большим фактором с точки зрения количества инцидентов, поскольку 30,47% всех инцидентов были вызваны им.
