Les failles de sécurité du Web2 représentent près de la moitié des pertes en cryptomonnaies de 2022, selon un rapport d’Immunefi
Summary:
Le rapport de la société de sécurité blockchain Immunefi révèle que près de la moitié de toutes les pertes cryptographiques dues aux exploits Web3 en 2022 sont liées à des problèmes de sécurité Web2 tels que les clés privées exposées. L’analyse catégorise ces vulnérabilités, attribuant 26,56 % du total des incidents à des vulnérabilités Web2. Il met également en évidence trois grands types d’attaques : celles dues à des défauts de conception de contrats intelligents, des failles dans le code des contrats intelligents et des faiblesses au sein de l’infrastructure informatique. Le rapport révèle notamment que les vulnérabilités de l’infrastructure entraînent les pertes financières les plus importantes, tandis que les problèmes de contrôle d’accès faible ou manquant entraînent le plus grand nombre d’incidents.
Le fournisseur de sécurité blockchain Immunefi a récemment partagé un rapport révélant que près de la moitié de toutes les pertes de crypto-monnaies résultant d’exploits Web3 en 2022 peuvent être attribuées à des problèmes de sécurité Web2 tels que des clés privées exposées. Ce rapport, dévoilé le 15 novembre, a examiné les incidents passés d’exploitation de cryptomonnaies pour l’année, en les regroupant en fonction de la variété des vulnérabilités identifiées. Il a été déduit que 46,48 % de toutes les cryptomonnaies volées en 2022 n’étaient pas dues à des problèmes de contrats intelligents, mais plutôt à des « faiblesses d’infrastructure » - des problèmes présents dans les systèmes des entreprises en développement.
Lorsque l’on passe de la valeur globale de la cryptomonnaie perdue au simple comptage des incidents, les vulnérabilités Web2 ont contribué à 26,56 % du total, ce qui en fait la deuxième cause la plus fréquente.
Immunefi a entièrement rejeté les cas d’escroqueries à la sortie ou tout autre type de fraude, ainsi que ceux résultant de manipulations de marché. Le rapport n’a pris en compte que les cas qui se sont produits en raison de failles de sécurité identifiables. Parmi celles-ci, trois grandes catégories ont été observées. Tout d’abord, les attaques déclenchées par des défauts de conception présents dans le contrat intelligent lui-même, illustrées par le piratage du pont BNB Chain. Deuxièmement, les attaques où le code du contrat intelligent bien conçu est défectueux - le piratage de Qbit en est un bon exemple.
La dernière catégorie a été appelée « faiblesses de l’infrastructure », y compris des aspects tels que l’infrastructure informatique sur laquelle les contrats intelligents fonctionnent, par exemple, les vulnérabilités associées aux machines virtuelles ou aux clés privées. Le piratage du pont Ronin a été mentionné à titre d’exemple, où un attaquant a réussi à contrôler 5 des 9 signatures de validateurs de nœuds Ronin.
Une analyse plus poussée a révélé des sous-catégories à l’intérieur de ces catégories principales. Les vulnérabilités de l’infrastructure peuvent provenir d’incidents tels qu’un employé qui a divulgué une clé privée via un canal non sécurisé, des phrases secrètes de coffre-fort de clés faibles, des problèmes d’authentification à 2 facteurs, un détournement DNS, un détournement BGP, une compromission de portefeuille à chaud ou des méthodes de chiffrement faibles les stockant en texte clair. Ces types de vulnérabilités ont entraîné les pertes financières les plus élevées en comparaison.
La deuxième cause de pertes était les problèmes cryptographiques, notamment les erreurs de l’arbre de Merkle, la rejouabilité des signatures et la génération prévisible de nombres aléatoires, représentant 20,58 % des pertes totales en 2022. Le rapport mentionne également des vulnérabilités liées à « un contrôle d’accès et/ou une validation d’entrée faibles/manquants ». Bien que cette catégorie n’ait causé que 4,62 % des pertes totales en valeur, elle a été responsable du déclenchement du plus grand nombre d’incidents, avec 30,47 % de tous les cas enregistrés.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.