Secondo il rapporto di Immunefi, le falle di sicurezza del Web2 rappresentano quasi la metà delle perdite di criptovalute del 2022
Summary:
Il rapporto della società di sicurezza blockchain Immune rivela che quasi la metà di tutte le perdite di criptovalute dovute agli exploit Web3 nel 2022 sono legate a problemi di sicurezza Web2, come le chiavi private esposte. L'analisi classifica queste vulnerabilità, attribuendo il 26,56% degli incidenti totali alle vulnerabilità del Web2. Evidenzia inoltre tre tipi principali di attacchi: quelli dovuti a difetti di progettazione degli smart contract, difetti nel codice degli smart contract e debolezze all'interno dell'infrastruttura IT. In particolare, il rapporto rivela che le vulnerabilità dell'infrastruttura causano le perdite finanziarie più significative, mentre i problemi con un controllo degli accessi debole o mancante portano al maggior numero di incidenti.
Il fornitore di sicurezza blockchain Immunefi ha recentemente condiviso un rapporto che rivela che quasi la metà di tutte le perdite di criptovalute derivanti da exploit Web3 nel 2022 possono essere ricondotte a problemi di sicurezza Web2 come chiavi private esposte. Questo rapporto, presentato il 15 novembre, ha esaminato gli episodi passati di sfruttamento delle criptovalute per l'anno, raggruppandoli in base alla varietà di vulnerabilità identificate. È stato dedotto che il 46,48% di tutte le criptovalute rubate nel 2022 non era dovuto a problemi tecnici di smart contract, ma piuttosto a "debolezze infrastrutturali", problemi presenti all'interno dei sistemi delle società in via di sviluppo.
Spostando la prospettiva dal valore complessivo della criptovaluta persa al semplice conteggio degli incidenti, le vulnerabilità del Web2 hanno contribuito al 26,56% del totale, rendendola la seconda causa più comune.
Immunefi ha completamente archiviato i casi di exit scam o qualsiasi altro tipo di frode, nonché quelli derivanti da manipolazioni del mercato. Il rapporto ha preso in considerazione solo i casi che si sono verificati a causa di vulnerabilità di sicurezza identificabili. Di questi, sono state osservate tre categorie principali. In primo luogo, gli attacchi innescati da difetti di progettazione presenti all'interno dello smart contract stesso, esemplificati dall'hack del bridge BNB Chain. In secondo luogo, gli attacchi in cui il codice dello smart contract ben progettato è difettoso, come l'hack di Qbit.
L'ultima categoria è stata definita come "debolezze dell'infrastruttura", includendo aspetti come l'infrastruttura IT su cui operano gli smart contract, ad esempio le vulnerabilità associate alle macchine virtuali o alle chiavi private. L'hack del bridge Ronin è stato citato come esempio, in cui un utente malintenzionato è riuscito a controllare 5 delle 9 firme dei validatori dei nodi Ronin.
Ulteriori analisi hanno rivelato sottocategorie all'interno di queste categorie principali. Le vulnerabilità dell'infrastruttura potrebbero derivare da incidenti come la perdita di una chiave privata da parte di un dipendente attraverso un canale non sicuro, passphrase dell'insieme di credenziali delle chiavi deboli, problemi con l'autenticazione a 2 fattori, dirottamento DNS, dirottamento BGP, compromissione dell'hot wallet o metodi di crittografia deboli che li archiviano in testo non crittografato. Questi tipi di vulnerabilità hanno portato alla più alta perdita finanziaria in confronto.
La seconda causa principale di perdite sono stati i problemi crittografici, tra cui gli errori dell'albero di Merkle, la rigiocabilità delle firme e la generazione prevedibile di numeri casuali, che hanno rappresentato il 20,58% delle perdite totali nel 2022. Il rapporto menziona anche vulnerabilità relative a "controllo degli accessi e/o convalida dell'input deboli/mancanti". Sebbene questa categoria abbia causato solo il 4,62% delle perdite totali di valore, è stata responsabile dell'innesco del maggior numero di incidenti, arrivando al 30,47% di tutti i casi registrati.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.