Immunefi raporuna göre Web2 güvenlik kusurları, 2022'deki kripto kayıplarının neredeyse yarısını oluşturuyor
Summary:
Blockchain güvenlik firması Immunefi'nin raporu, 2022'de Web3 istismarlarından kaynaklanan tüm kripto kayıplarının neredeyse yarısının, açığa çıkan özel anahtarlar gibi Web2 güvenlik sorunlarına bağlı olduğunu ortaya koyuyor. Analiz, toplam olayların %26,56'sını Web2 güvenlik açıklarına bağlayarak bu güvenlik açıklarını kategorize ediyor. Ayrıca üç ana saldırı türünü vurgular: akıllı sözleşme tasarım kusurları, akıllı sözleşme kodundaki kusurlar ve BT altyapısındaki zayıflıklardan kaynaklananlar. Rapor, özellikle altyapı güvenlik açıklarının en önemli mali kayıplara neden olduğunu, zayıf veya eksik erişim kontrolüyle ilgili sorunların en fazla sayıda olaya yol açtığını ortaya koyuyor.
Blockchain güvenlik sağlayıcısı Immunefi kısa süre önce, 2022'de Web3 istismarlarından kaynaklanan tüm kripto para kayıplarının neredeyse yarısının, açığa çıkan özel anahtarlar gibi Web2 güvenlik sorunlarına kadar izlenebileceğini ortaya koyan bir rapor paylaştı. 15 Kasım'da açıklanan bu rapor, yıl boyunca geçmiş kripto istismar olaylarını inceledi ve bunları tespit edilen güvenlik açıklarının çeşitliliğine göre gruplandırdı. 2022'de çalınan tüm kriptoların %46,48'inin akıllı sözleşme hatalarından değil, gelişmekte olan şirketlerin sistemlerinde bulunan sorunlar olan "altyapı zayıflıklarından" kaynaklandığı sonucuna varıldı.
Bakış açısını kaybedilen kriptonun genel değerinden yalnızca olayları saymaya çevirirken, Web2 güvenlik açıkları toplamın %26,56'sına katkıda bulundu ve bu da onu en yaygın ikinci neden haline getirdi.
Immunefi, çıkış dolandırıcılığı veya diğer dolandırıcılık türlerinin yanı sıra piyasa manipülasyonlarından kaynaklanan davaları tamamen reddetti. Raporda yalnızca tanımlanabilir güvenlik açıkları nedeniyle meydana gelen vakalar dikkate alındı. Bunlardan üç ana kategori gözlendi. İlk olarak, akıllı sözleşmenin kendisinde bulunan tasarım kusurları tarafından tetiklenen saldırılar, BNB Chain köprüsü hack'i ile örneklenmiştir. İkincisi, iyi tasarlanmış akıllı sözleşmenin kodunun kusurlu olduğu saldırılar - Qbit hack'i buna bir örnektir.
Son kategori, akıllı sözleşmelerin üzerinde çalıştığı BT altyapısı gibi unsurlar da dahil olmak üzere "altyapı zayıflıkları" olarak adlandırıldı - örneğin, sanal makineler veya özel anahtarlarla ilişkili güvenlik açıkları. Bir saldırganın 9 Ronin düğümü doğrulayıcı imzasından 5'ini kontrol etmeyi başardığı Ronin köprüsü hack'inden örnek olarak bahsedildi.
Daha fazla analiz, bu ana kategoriler içindeki alt kategorileri ortaya çıkardı. Altyapı güvenlik açıkları, bir çalışanın güvenli olmayan bir kanal aracılığıyla özel bir anahtarı sızdırması, zayıf anahtar kasası parolaları, 2 faktörlü kimlik doğrulama sorunları, DNS ele geçirme, BGP ele geçirme, sıcak cüzdan güvenliğinin ihlal edilmesi veya bunları düz metin olarak saklayan zayıf şifreleme yöntemleri gibi olaylardan kaynaklanabilir. Bu tür güvenlik açıkları nispeten en yüksek finansal kayba yol açtı.
Kayıpların ikinci en büyük nedeni, 2022'deki toplam kayıpların %20,58'ini oluşturan Merkle ağacı hataları, imza tekrar oynanabilirliği ve öngörülebilir rastgele sayı üretimi dahil olmak üzere kriptografik sorunlar oldu. Raporda ayrıca "zayıf/eksik erişim kontrolü ve/veya giriş doğrulaması" ile ilgili güvenlik açıklarından da bahsedildi. Bu kategori toplam değer kayıplarının yalnızca %4,62'sine neden olmasına rağmen, kaydedilen tüm vakaların %30,47'sine ulaşarak en yüksek sayıda olayı tetiklemekten sorumluydu.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.