區塊鏈安全平台Immunefi 的一份新報告表明,因Web3 漏洞而遺失的所有加密貨幣中,近一半是由於私鑰洩漏等Web2 安全問題造成的。該報告於11 月15 日發布,回顧了2022 年加密貨幣漏洞利用的歷史,並將其分為不同類型的漏洞。其結論是,2022 年因漏洞而損失的加密貨幣中有46.48% 不是由於智慧合約缺陷,而是由於「基礎設施缺陷」或開發公司電腦系統的問題。
Web3 漏洞的類別。來源:免疫網
當考慮事件數量而不是加密貨幣損失的價值時,Web2 漏洞只佔總數的一小部分,為26.56%,儘管它們仍然是第二大類別。
Immunefi 的報告排除了退出騙局或其他詐欺行為,以及僅因市場操縱而發生的漏洞。它僅考慮因安全漏洞而發生的攻擊。其中,它發現攻擊分為三大類。首先,有些攻擊的發生是因為智能合約有設計缺陷。 Immunefi 引用了BNB 鏈橋駭客攻擊作為此類漏洞的範例。其次,一些攻擊的發生是因為,即使智能合約設計得很好,但實現該設計的程式碼卻有缺陷。 Immunefi 引用了Qbit 駭客攻擊作為此類的一個例子。
最後,第三類漏洞是“基礎設施弱點”,Immunefi 將其定義為“智能合約運行的IT 基礎設施,例如虛擬機器、私鑰等”。作為此類漏洞的一個範例,Immunefi 列出了Ronin 橋駭客攻擊,該漏洞是由攻擊者控制了九個Ronin 節點驗證器簽章中的五個而引起的。
相關:Uniswap DAO 辯論表明開發人員仍在努力確保跨鏈橋樑的安全
Immunefi 將這些類別進一步細分為子類別。當涉及到基礎設施弱點時,這些可能是由於員工洩露私鑰(例如,透過不安全的通道傳輸私鑰)、使用金鑰保管庫的弱密碼、雙重認證問題、DNS 劫持、 BGP 劫持、熱錢包洩漏或使用弱加密貨幣方法並將其以明文形式儲存。
雖然與其他類別相比,這些基礎設施漏洞造成的損失最大,但損失的第二大原因是“加密貨幣問題”,例如Merkle 樹錯誤、簽名可重玩性和可預測的隨機數生成。 2022 年,加密貨幣問題造成的損失佔總損失的20.58%。
報告指出,另一個常見的漏洞是「存取控制和/或輸入驗證薄弱/缺失」。此類缺陷僅造成價值損失的4.62%,但從事件數量來看,它是最大的貢獻者,佔所有事件的30.47%。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Tom Blackstone所有,未經許可,不得轉載