Přibližně polovina všech ztrát kryptomen způsobených zneužitím Web3 má původ v bezpečnostních problémech Web2, jako jsou například úniky soukromých klíčů. Vyplývá to z nejnovější zprávy bezpečnostní platformy pro blockchain Immunefi, která byla zveřejněna 15. listopadu.
Ve smart kontraktech problém nebyl
Zpráva se zaměřila na analyzování historie zneužití kryptomen v roce 2022 a rozdělila je do různých kategorií zranitelností. Vyplývá z ní, že 46,48 % ztrát kryptoměn z roku 2022 nesouviselo s chybami smart kontraktů, ale spíše s infrastrukturními slabostmi nebo problémy počítačových systémů vyvíjejících firem.
V kontextu počtu incidentů oproti hodnotě ztracených kryptoměn byly zranitelnosti Web2 méně významné. Tvoří pouze 26,56 % celkového počtu, avšak stále představovaly druhou největší kategorii.
Zpráva nezahrnuje manipulaci s trhem
Zpráva Immunefi vylučuje exit scamy nebo jiné podvody a zneužití, které vznikly výhradně v důsledku manipulace s trhem. Zaměřuje se pouze na útoky způsobené bezpečnostní zranitelností. Identifikovala tak tři hlavní kategorie útoků:
- Chyby v designu smart kontraktů, přičemž Immunefi jako příklad uvádí hack mostu BNB Chain.
- Případy, kde i přes správný návrh smart kontraktu byl samotný implementační kód vadný, například hack Qbit.
- IT-infrastruktura, na které operuje smart kontrakt, například virtuální stroje (virtual machines), soukromé klíče atp. Jako příklad uvádí hack mostu Ronin (Ronin bridge), který byl způsoben získáním kontroly útočníkem nad pěti z devíti podpisů validátorů uzlů tohoto mostu.
Immunefi dále rozčlenila tyto kategorie do podkategorií. U infrastrukturních slabostí může jít o únik soukromého klíče zaměstnancům, použití slabého hesla pro trezor klíčů, problémy s dvoufaktorovou autentifikací, kompromitováním horké peněženky nebo použitím slabých metod šifrování a jejich ukládáním v otevřeném textu.
Další příčiny ztrát kryptoměn
Ačkoli tyto infrastrukturní zranitelnosti způsobily největší ztráty v porovnání s ostatními kategoriemi, druhou největší příčinou ztrát byly kryptografické problémy, jako jsou chyby v Merkleho stromu, opakovatelnost podpisů a předvídatelná generace náhodných čísel, což tvořilo 20,58 % celkové hodnoty ztrát v roce.
Zpráva dále uvádí, že běžnou zranitelností byla slabá nebo chybějící kontrola přístupu a ověřování vstupů, což sice tvořilo jen 4,62 % ztrát v hodnotovém vyjádření, ale bylo největším přispěvatelem z hlediska počtu incidentů, protože 30,47 % všech incidentů bylo způsobeno touto chybou.
Zdroj: cointelegraph.com
