区块链安全平台 Immunefi 的一份新报告表明,Web3 漏洞造成的所有加密货币损失中近一半是由于 Web2 安全问题(例如私钥泄露)造成的。该报告于 11 月 15 日发布,回顾了 2022 年加密货币漏洞利用的历史,将其分为不同类型的漏洞。其结论是,2022 年因漏洞利用而损失的加密货币中有 46.48% 不是由于智能合约缺陷,而是由于“基础设施缺陷”或开发公司计算机系统的问题。
当考虑事件数量而不是加密货币损失的价值时,Web2 漏洞只占总数的一小部分,为 26.56%,尽管它们仍然是第二大类别。
Immunefi 的报告排除了退出骗局或其他欺诈行为,以及仅因市场操纵而发生的漏洞。它仅考虑因安全漏洞而发生的攻击。其中,它发现攻击分为三大类。首先,一些攻击的发生是因为智能合约存在设计缺陷。Immunefi引用了 BNB 链桥黑客攻击作为此类漏洞的示例。其次,一些攻击的发生是因为,即使智能合约设计得很好,但实现该设计的代码却存在缺陷。Immunefi引用了 Qbit 黑客攻击作为此类的一个例子。
最后,第三类漏洞是基础设施弱点,Immunefi 将其定义为智能合约运行的 IT 基础设施,例如虚拟机、私钥等。作为此类漏洞的一个示例,Immunefi列出了 Ronin 桥黑客攻击,该漏洞是由攻击者控制了九个 Ronin 节点验证器签名中的五个而引起的。
Immunefi 将这些类别进一步细分为子类别。当涉及到基础设施弱点时,这些可能是由于员工泄露私钥(例如,通过不安全的通道传输私钥)、使用密钥保管库的弱密码、双因素身份验证问题、DNS 劫持、 BGP 劫持、热钱包泄露或使用弱加密方法并将其以明文形式存储。
虽然与其他类别相比,这些基础设施漏洞造成的损失最大,但造成损失的第二大原因是加密问题,例如 Merkle 树错误、签名可重玩性和可预测的随机数生成。2022 年,加密问题造成的损失占总损失的 20.58%。
报告指出,另一个常见的漏洞是访问控制和/或输入验证薄弱/缺失。此类缺陷仅造成价值损失的 4.62%,但从事件数量来看,它是最大的贡献者,占所有事件的 30.47%。
