Web2-Sicherheitslücken sind laut Immunefi-Bericht für fast die Hälfte der Krypto-Verluste im Jahr 2022 verantwortlich
Summary:
Der Bericht des Blockchain-Sicherheitsunternehmens Immunefi zeigt, dass fast die Hälfte aller Krypto-Verluste durch Web3-Exploits im Jahr 2022 mit Web2-Sicherheitsproblemen wie offengelegten privaten Schlüsseln zusammenhängen. Die Analyse kategorisiert diese Schwachstellen und ordnet 26,56 % der gesamten Vorfälle Web2-Schwachstellen zu. Außerdem werden drei Hauptarten von Angriffen hervorgehoben: solche, die auf Designfehler bei Smart Contracts, Fehler im Code von Smart Contracts und Schwachstellen in der IT-Infrastruktur zurückzuführen sind. Insbesondere zeigt der Bericht, dass Schwachstellen in der Infrastruktur die größten finanziellen Verluste verursachen, während Probleme mit schwacher oder fehlender Zugriffskontrolle zu den meisten Vorfällen führen.
Der Blockchain-Sicherheitsanbieter Immunefi hat kürzlich einen Bericht veröffentlicht, aus dem hervorgeht, dass fast die Hälfte aller Kryptowährungsverluste, die im Jahr 2022 durch Web3-Exploits verursacht wurden, auf Web2-Sicherheitsprobleme wie offengelegte private Schlüssel zurückzuführen sind. Dieser Bericht, der am 15. November vorgestellt wurde, untersuchte die vergangenen Vorfälle von Krypto-Exploits für das Jahr und gruppierte sie nach der Vielfalt der identifizierten Schwachstellen. Es wurde gefolgert, dass 46,48 % aller im Jahr 2022 gestohlenen Kryptowährungen nicht auf Smart-Contract-Pannen zurückzuführen sind, sondern auf "Infrastrukturschwächen" zurückzuführen sind - Probleme, die in den Systemen der sich entwickelnden Unternehmen vorhanden sind.
Wechselt man die Perspektive vom Gesamtwert der verlorenen Kryptowährung auf die bloße Zählung der Vorfälle, so trugen Web2-Schwachstellen zu 26,56 % der Gesamtzahl bei und sind damit die zweithäufigste Ursache.
Immunefi wies Fälle von Exit-Scams oder anderen Arten von Betrug sowie von Fällen, die aus Marktmanipulationen resultierten, vollständig ab. Der Bericht berücksichtigte nur Fälle, die aufgrund von identifizierbaren Sicherheitslücken aufgetreten sind. Von diesen wurden drei Hauptkategorien beobachtet. Erstens, Angriffe, die durch Designfehler im Smart Contract selbst ausgelöst werden, wie der BNB Chain Bridge-Hack zeigt. Zweitens Angriffe, bei denen der Code des gut gestalteten Smart Contracts fehlerhaft ist - der Qbit-Hack ist ein typisches Beispiel.
Die letzte Kategorie wurde als "Infrastrukturschwächen" bezeichnet, darunter Aspekte wie die IT-Infrastruktur, auf der Smart Contracts arbeiten – zum Beispiel Schwachstellen im Zusammenhang mit virtuellen Maschinen oder privaten Schlüsseln. Als Beispiel wurde der Ronin-Bridge-Hack genannt, bei dem es einem Angreifer gelang, 5 von 9 Ronin-Nodes-Validator-Signaturen zu kontrollieren.
Weitere Analysen ergaben Unterkategorien innerhalb dieser Hauptkategorien. Schwachstellen in der Infrastruktur können durch Vorfälle entstehen, z. B. durch einen Mitarbeiter, der einen privaten Schlüssel über einen unsicheren Kanal durchsickern lässt, schwache Key-Vault-Passphrasen, Probleme mit der 2-Faktor-Authentifizierung, DNS-Hijacking, BGP-Hijacking, Hot-Wallet-Kompromittierung oder schwache Verschlüsselungsmethoden, die sie im Klartext speichern. Diese Art von Schwachstellen führten zu den vergleichsweise höchsten finanziellen Verlusten.
Die zweitgrößte Verlustursache waren kryptografische Probleme, darunter Merkle-Baumfehler, Wiederspielbarkeit von Signaturen und vorhersehbare Zufallszahlengenerierung, die 20,58 % der Gesamtverluste im Jahr 2022 ausmachten. Der Bericht erwähnte auch Schwachstellen im Zusammenhang mit "schwacher/fehlender Zugriffskontrolle und/oder Eingabevalidierung". Obwohl diese Kategorie nur 4,62 % der gesamten Wertverluste verursachte, war sie mit 30,47 % aller erfassten Fälle für die Auslösung der meisten Vorfälle verantwortlich.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.