Los fallos de seguridad de Web2 representan casi la mitad de las pérdidas de criptomonedas de 2022, según un informe de Immunefi
Summary:
El informe de la empresa de seguridad blockchain Immunefi revela que casi la mitad de todas las pérdidas de criptomonedas por exploits de Web3 en 2022 están vinculadas a problemas de seguridad de Web2, como las claves privadas expuestas. El análisis clasifica estas vulnerabilidades, atribuyendo el 26,56% del total de incidentes a las vulnerabilidades de la Web2. También destaca tres tipos principales de ataques: los debidos a fallas en el diseño de contratos inteligentes, fallas en el código de contratos inteligentes y debilidades dentro de la infraestructura de TI. En particular, el informe revela que las vulnerabilidades de la infraestructura causan las pérdidas financieras más significativas, mientras que los problemas con un control de acceso débil o inexistente conducen al mayor número de incidentes.
El proveedor de seguridad blockchain Immunefi ha compartido recientemente un informe que revela que casi la mitad de todas las pérdidas de criptomonedas resultantes de los exploits de Web3 en 2022 se remontan a problemas de seguridad de Web2, como las claves privadas expuestas. Este informe, presentado el 15 de noviembre, examinó los incidentes pasados de explotación de criptomonedas durante el año, agrupándolos por la variedad de vulnerabilidades identificadas. Se dedujo que el 46,48% de todas las criptomonedas robadas en 2022 no se debieron a fallos de los contratos inteligentes, sino a "debilidades de infraestructura", es decir, a problemas presentes en los sistemas de las empresas en desarrollo.
Al cambiar la perspectiva del valor total de la criptomoneda perdida a simplemente contar los incidentes, las vulnerabilidades de Web2 contribuyeron al 26,56% del total, lo que la convierte en la segunda causa más común.
Immunefi desestimó por completo los casos relacionados con estafas de salida o cualquier otro tipo de fraude, así como los resultantes de manipulaciones del mercado. El informe solo consideró los casos que ocurrieron debido a vulnerabilidades de seguridad identificables. A partir de estos, se observaron tres categorías principales. En primer lugar, los ataques provocados por defectos de diseño presentes en el propio contrato inteligente, ejemplificados por el hackeo del puente BNB Chain. En segundo lugar, los ataques en los que el código del contrato inteligente bien diseñado es defectuoso, como el hackeo de Qbit.
La última categoría se denominó "debilidades de infraestructura", que incluye aspectos como la infraestructura de TI en la que operan los contratos inteligentes, por ejemplo, vulnerabilidades asociadas con máquinas virtuales o claves privadas. Como ejemplo se mencionó el hackeo del puente Ronin, en el que un atacante logró controlar 5 de las 9 firmas de validación de los nodos Ronin.
Un análisis más detallado reveló subcategorías dentro de estas categorías principales. Las vulnerabilidades de la infraestructura pueden surgir de incidentes como la filtración de una clave privada por parte de un empleado a través de un canal inseguro, frases de contraseña débiles de la bóveda de claves, problemas con la autenticación de 2 factores, el secuestro de DNS, el secuestro de BGP, el compromiso de la billetera caliente o los métodos de cifrado débiles que los almacenan en texto sin formato. Este tipo de vulnerabilidades condujeron a las mayores pérdidas financieras en comparación.
La segunda causa más importante de pérdidas fueron los problemas criptográficos, incluidos los errores del árbol de Merkle, la rejugabilidad de la firma y la generación predecible de números aleatorios, que representaron el 20,58% de las pérdidas totales en 2022. El informe también menciona vulnerabilidades relacionadas con "control de acceso débil/ausente y/o validación de entradas". Aunque esta categoría solo causó el 4,62% de las pérdidas totales en valor, fue responsable de desencadenar el mayor número de incidentes, llegando al 30,47% de todos los casos registrados.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.