Falhas de segurança da Web2 são responsáveis por quase metade das perdas de criptomoedas de 2022, diz relatório da Immunefi
Summary:
O relatório da empresa de segurança blockchain Immunefi revela que quase metade de todas as perdas de criptografia de explorações Web3 em 2022 estão ligadas a problemas de segurança Web2, como chaves privadas expostas. A análise categoriza essas vulnerabilidades, atribuindo 26,56% do total de incidentes às vulnerabilidades da Web2. Ele também destaca três tipos principais de ataques: aqueles devido a falhas de design de contrato inteligente, falhas no código de contrato inteligente e fraquezas na infraestrutura de TI. Notavelmente, o relatório revela que as vulnerabilidades de infraestrutura causam as perdas financeiras mais significativas, enquanto problemas com controle de acesso fraco ou ausente levam ao maior número de incidentes.
O provedor de segurança Blockchain Immunefi compartilhou recentemente um relatório revelando que quase metade de todas as perdas de criptomoedas resultantes de explorações Web3 em 2022 podem ser rastreadas até problemas de segurança Web2, como chaves privadas expostas. Este relatório, revelado em 15 de novembro, examinou os incidentes passados de explorações de criptomoedas para o ano, agrupando-os pela variedade de vulnerabilidades identificadas. Deduziu-se que 46,48% de todas as criptomoedas roubadas em 2022 não foram de falhas de contratos inteligentes, mas sim devido a "fraquezas de infraestrutura" - problemas presentes nos sistemas das empresas em desenvolvimento.
Ao mudar a perspectiva do valor geral da criptomoeda perdida para apenas contar os incidentes, as vulnerabilidades Web2 contribuíram para 26,56% do total, tornando-se a segunda causa mais comum.
A Immunefi rejeitou totalmente os casos envolvendo golpes de saída ou qualquer outro tipo de fraude, bem como aqueles resultantes de manipulações de mercado. O relatório considerou apenas casos que aconteceram devido a vulnerabilidades de segurança identificáveis. Dessas, observaram-se três grandes categorias. Primeiro, ataques desencadeados por falhas de design presentes no próprio contrato inteligente, exemplificado pelo hack da ponte BNB Chain. Em segundo lugar, ataques em que o código do contrato inteligente bem projetado é falho - o hack Qbit é um exemplo disso.
A última categoria foi denominada como "fraquezas de infraestrutura", incluindo aspectos como a infraestrutura de TI na qual os contratos inteligentes operam, por exemplo, vulnerabilidades associadas a máquinas virtuais ou chaves privadas. O hack da ponte Ronin foi mencionado como um exemplo, onde um invasor conseguiu controlar 5 de 9 assinaturas do validador de nós Ronin.
Uma análise mais aprofundada revelou subcategorias dentro dessas categorias principais. As vulnerabilidades de infraestrutura podem surgir de incidentes como um funcionário vazando uma chave privada por meio de um canal inseguro, senhas de cofre de chave fraca, problemas com autenticação de 2 fatores, sequestro de DNS, sequestro de BGP, comprometimento de hot wallet ou métodos de criptografia fracos armazenando-os em texto sem formatação. Esses tipos de vulnerabilidades levaram à maior perda financeira comparativamente.
A segunda maior causa de perdas foram problemas criptográficos, incluindo erros de árvore de Merkle, replayability de assinatura e geração de números aleatórios previsíveis, representando 20,58% das perdas totais em 2022. O relatório também mencionou vulnerabilidades relacionadas a "controle de acesso fraco/ausente e/ou validação de entrada". Embora essa categoria tenha causado apenas 4,62% do total de perdas em valor, foi responsável pelo maior número de incidentes, chegando a 30,47% do total de casos registrados.
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.