Približne polovica všetkých strát kryptomien spôsobených zneužitím Web3 má pôvod v bezpečnostných problémoch Web2, ako sú napríklad úniky súkromných kľúčov. Vyplýva to z najnovšej správy bezpečnostnej platformy pre blockchain Immunefi, ktorá bola zverejnená 15. novembra.
V smart kontraktoch problém nebol
Správa sa zamerala na analyzovanie histórie zneužitia kryptomien v roku 2022 a rozdelila ich do rôznych kategórií zraniteľností. Vyplýva z nej, že 46,48% strát kryptomien z roku 2022 nesúviselo s chybami smart kontraktov, ale skôr s infraštruktúrnymi slabosťami alebo problémami počítačových systémov vyvíjajúcich firiem.
V kontexte počtu incidentov oproti hodnote stratených kryptomien boli zraniteľnosti Web2 menej významné. Tvoria iba 26,56% celkového počtu, avšak stále predstavovali druhú najväčšiu kategóriu.
Správa nezahŕňa manipuláciu s trhom
Správa Immunefi vylučuje exit scamy alebo iné podvody a zneužitia, ktoré vznikli výhradne v dôsledku manipulácie s trhom. Zameriava sa len na útoky spôsobené bezpečnostnou zraniteľnosťou. Identifikovala tak tri hlavné kategórie útokov:
- Chyby v dizajne smart kontraktov, pričom Immunefi ako príklad uvádza hack mosta BNB Chain.
- Prípady, kde aj napriek správnemu návrhu smart kontraktu bol samotný implementačný kód chybný, napríklad hack Qbit.
- IT-infraštruktúra, na ktorej operuje smart kontrakt, napríklad virtuálne stroje (virtual machines), súkromné kľúče atď. Ako príklad uvádza hack mosta Ronin (Ronin bridge), ktorý bol spôsobený získaním kontroly útočníkom nad piatimi z deviatich podpisov validátorov uzlov tohto mosta.
Immunefi ďalej rozčlenila tieto kategórie do podkategórií. Pri infraštruktúrnych slabostiach môže ísť o únik súkromného kľúča zamestnancom, použitie slabého hesla pre trezor kľúčov, problémy s dvojfaktorovou autentifikáciou, kompromitovaním horúcej peňaženky alebo použitím slabých metód šifrovania a ich ukladaním v otvorenom texte.
Ďalšie príčiny strát kryptomien
Hoci tieto infraštruktúrne zraniteľnosti spôsobili najväčšie straty v porovnaní s ostatnými kategóriami, druhou najväčšou príčinou strát boli kryptografické problémy, ako sú chyby v Merkleho strome, opakovateľnosť podpisov a predvídateľná generácia náhodných čísel, čo tvorilo 20,58% celkovej hodnoty strát v roku 2022.
Správa ďalej uvádza, že bežnou zraniteľnosťou bola slabá alebo chýbajúca kontrola prístupu a overovanie vstupov, čo síce tvorilo len 4,62% strát v hodnotovom vyjadrení, ale bolo najväčším prispievateľom z hľadiska počtu incidentov, keďže 30,47% všetkých incidentov bolo spôsobených touto chybou.
Zdroj: cointelegraph.com
