Недостатки безопасности Web2 составляют почти половину потерь криптовалюты в 2022 году, говорится в отчете Immunefi
Summary:
Отчет компании Immunefi, занимающейся безопасностью блокчейна, показывает, что почти половина всех потерь криптовалюты от эксплойтов Web3 в 2022 году связана с проблемами безопасности Web2, такими как раскрытие закрытых ключей. Анализ классифицирует эти уязвимости, относя 26,56% от общего числа инцидентов к уязвимостям Web2. В нем также выделяются три основных типа атак: из-за недостатков дизайна смарт-контрактов, недостатков в коде смарт-контрактов и слабых мест в ИТ-инфраструктуре. Примечательно, что в отчете отмечается, что наиболее значительные финансовые потери приводят к уязвимостям инфраструктуры, в то время как проблемы со слабым или отсутствующим контролем доступа приводят к наибольшему количеству инцидентов.
Поставщик безопасности блокчейна Immunefi недавно поделился отчетом, в котором говорится, что почти половина всех потерь криптовалюты в результате эксплойтов Web3 в 2022 году может быть связана с проблемами безопасности Web2, такими как раскрытые закрытые ключи. В этом отчете, обнародованном 15 ноября, были проанализированы прошлые инциденты криптоэксплуатации за год, сгруппированные по разнообразию выявленных уязвимостей. Был сделан вывод, что 46,48% всей криптовалюты, украденной в 2022 году, произошли не из-за сбоев смарт-контрактов, а скорее из-за «слабых мест инфраструктуры» — проблем, присутствующих в системах компаний-разработчиков.
Если переключиться с общей стоимости потерянной криптовалюты на простой подсчет инцидентов, уязвимости Web2 составили 26,56% от общего числа, что делает их второй по распространенности причиной.
Immunefi полностью закрыла дела, связанные с мошенничеством с выходом или любыми другими видами мошенничества, а также те, которые являются результатом манипулирования рынком. В отчете рассматривались только те случаи, которые произошли из-за выявленных уязвимостей в системе безопасности. Из них были выделены три основные категории. Во-первых, атаки, вызванные недостатками дизайна, присутствующими в самом смарт-контракте, примером чего является взлом моста BNB Chain. Во-вторых, атаки, в которых хорошо продуманный код смарт-контракта имеет недостатки - взлом Qbit является тому примером.
Последняя категория была названа «слабыми местами инфраструктуры», включая такие аспекты, как ИТ-инфраструктура, на которой работают смарт-контракты, например, уязвимости, связанные с виртуальными машинами или закрытыми ключами. В качестве примера был упомянут взлом моста Ronin, где злоумышленнику удалось контролировать 5 из 9 сигнатур валидаторов узлов Ronin.
Дальнейший анализ выявил подкатегории внутри этих основных категорий. Уязвимости инфраструктуры могут возникать из-за таких инцидентов, как утечка закрытого ключа сотрудником по незащищенному каналу, слабые парольные фразы хранилища ключей, проблемы с 2-факторной аутентификацией, перехват DNS, перехват BGP, компрометация горячего кошелька или слабые методы шифрования, хранящие их в открытом виде. Эти типы уязвимостей привели к самым высоким финансовым потерям.
Второй по величине причиной потерь стали криптографические проблемы, в том числе ошибки дерева Меркла, реиграбельность подписей и предсказуемая генерация случайных чисел, на долю которых пришлось 20,58% от общего числа потерь в 2022 году. В отчете также упоминаются уязвимости, связанные со «слабым/отсутствующим контролем доступа и/или проверкой входных данных». Несмотря на то, что эта категория вызвала лишь 4,62% от общего количества потерь в стоимостном выражении, она вызвала наибольшее количество инцидентов, составив 30,47% от всех зарегистрированных случаев.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.