46% tiền điện tử bị mất do khai thác là do lỗ hổng Web2 truyền thống - Immunefi

Một báo cáo mới từ nền tảng bảo mật blockchain Immunefi cho rằng gần một nửa số tiền điện tử bị mất từ ​​các khai thác Web3 là do các vấn đề bảo mật Web2 như rò rỉ khóa riêng. Báo cáo được công bố vào ngày 15 tháng 11 đã xem xét lại lịch sử khai thác tiền điện tử vào năm 2022, phân loại chúng thành các loại lỗ hổng khác nhau. Báo cáo kết luận rằng 46,48% tiền điện tử bị mất từ ​​các khai thác vào năm 2022 không phải do lỗi hợp đồng thông minh mà là do "điểm yếu về cơ sở hạ tầng" hoặc các vấn đề với hệ thống máy tính của công ty đang phát triển.

Các loại lỗ hổng bảo mật Web3. Nguồn: Immunefi.

Khi xem xét số lượng sự cố thay vì giá trị tiền điện tử bị mất, lỗ hổng Web2 chỉ chiếm tỷ lệ nhỏ hơn trong tổng số ở mức 26,56%, mặc dù chúng vẫn là danh mục lớn thứ hai.

Báo cáo của Immunefi đã loại trừ các vụ lừa đảo thoát hoặc các vụ gian lận khác, cũng như các vụ khai thác xảy ra chỉ vì thao túng thị trường. Báo cáo chỉ xem xét các cuộc tấn công xảy ra do lỗ hổng bảo mật. Trong số này, báo cáo phát hiện ra rằng các cuộc tấn công rơi vào ba loại chính. Đầu tiên, một số cuộc tấn công xảy ra vì hợp đồng thông minh có lỗi thiết kế. Immunefi đã trích dẫn vụ hack cầu nối BNB Chain làm ví dụ về loại lỗ hổng này. Thứ hai, một số cuộc tấn công xảy ra vì mặc dù hợp đồng thông minh được thiết kế tốt, nhưng mã triển khai thiết kế lại bị lỗi. Immunefi đã trích dẫn vụ hack Qbit làm ví dụ về loại này.

Cuối cùng, loại lỗ hổng thứ ba là “điểm yếu về cơ sở hạ tầng”, được Immunefi định nghĩa là “cơ sở hạ tầng CNTT mà hợp đồng thông minh hoạt động—ví dụ như máy ảo, khóa riêng, v.v.” Là một ví dụ về loại lỗ hổng này, Immunefi đã liệt kê vụ hack cầu nối Ronin, do kẻ tấn công chiếm quyền kiểm soát 5 trong số 9 chữ ký xác thực của nút Ronin.

Immunefi đã chia nhỏ các danh mục này thành các danh mục con. Khi nói đến điểm yếu của cơ sở hạ tầng, những điểm yếu này có thể do nhân viên làm rò rỉ khóa riêng (ví dụ, bằng cách truyền qua kênh không an toàn), sử dụng cụm mật khẩu yếu cho kho khóa, sự cố xác thực 2 yếu tố, chiếm đoạt DNS, chiếm đoạt BGP, xâm phạm ví nóng hoặc sử dụng phương pháp mã hóa yếu và lưu trữ chúng dưới dạng văn bản thuần túy.

Trong khi các lỗ hổng cơ sở hạ tầng này gây ra lượng tổn thất lớn nhất so với các danh mục khác, nguyên nhân gây ra tổn thất lớn thứ hai là "các vấn đề về mật mã" như lỗi cây Merkle, khả năng phát lại chữ ký và khả năng tạo số ngẫu nhiên có thể dự đoán được. Các vấn đề về mật mã gây ra 20,58% tổng giá trị tổn thất vào năm 2022.

Một lỗ hổng phổ biến khác là "kiểm soát truy cập yếu/thiếu và/hoặc xác thực đầu vào", báo cáo nêu rõ. Loại lỗ hổng này chỉ gây ra 4,62% ​​tổn thất về giá trị, nhưng lại là nguyên nhân lớn nhất về số lượng sự cố, vì 30,47% trong số tất cả các sự cố là do nó gây ra.