Immunefi 报告称,Web2 安全漏洞占 2022 年加密货币损失的近一半
Summary:
区块链安全公司 Immunefi 的报告显示,2022 年 Web3 漏洞利用造成的所有加密货币损失中,有近一半与 Web2 安全问题有关,例如暴露的私钥。该分析对这些漏洞进行了分类,将 26.56% 的事件归因于 Web2 漏洞。它还强调了三种主要类型的攻击:由于智能合约设计缺陷、智能合约代码中的缺陷以及 IT 基础设施中的弱点。值得注意的是,该报告显示,基础设施漏洞造成的经济损失最大,而访问控制薄弱或缺失的问题导致的事件数量最多。
区块链安全提供商 Immunefi 最近分享了一份报告,该报告显示,2022 年 Web3 漏洞利用导致的所有加密货币损失中,几乎有一半可以追溯到 Web2 安全问题,例如暴露的私钥。这份报告于 11 月 15 日公布,研究了今年过去的加密货币利用事件,并按已识别漏洞的各种进行分组。据推断,2022 年被盗的所有加密货币中有 46.48% 不是来自智能合约故障,而是由于“基础设施弱点”——开发中公司系统中存在的问题。
当将视角从丢失的加密货币的整体价值转向仅计算事件时,Web2 漏洞占总数的 26.56%,使其成为第二大常见原因。
Immunefi 完全驳回了涉及退出诈骗或任何其他类型的欺诈以及因市场操纵而导致的案件。该报告仅考虑了由于可识别的安全漏洞而发生的案例。从中,观察到三个主要类别。首先,由智能合约本身存在的设计缺陷引发的攻击,例如BNB Chain桥黑客攻击。其次,精心设计的智能合约代码存在缺陷的攻击——Qbit 黑客攻击就是一个很好的例子。
最后一类被称为“基础设施弱点”,包括智能合约运行的IT基础设施等方面,例如与虚拟机或私钥相关的漏洞。以 Ronin 桥黑客为例,攻击者设法控制了 9 个 Ronin 节点验证者签名中的 5 个。
进一步的分析揭示了这些主要类别中的子类别。基础设施漏洞可能源于以下事件:员工通过不安全的通道泄露私钥、密钥保管库密码较弱、2 因素身份验证问题、DNS 劫持、BGP 劫持、热钱包泄露或以明文形式存储它们的弱加密方法。这些类型的漏洞导致了相对最高的经济损失。
第二大损失原因是密码问题,包括默克尔树错误、签名可重玩性和可预测的随机数生成,占 2022 年总损失的 20.58%。该报告还提到了与“弱/缺失访问控制和/或输入验证”相关的漏洞。虽然这一类别只造成了总价值损失的4.62%,但它是引发最多事件的原因,占所有记录案件的30.47%。
Published At
11/15/2023 7:21:22 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.