۴۶ درصد از ارزهای رمزنگاری شده از دست رفته در اثر سوء استفاده ها به دلیل نقص های سنتی Web2 است

این پلتفرم امنیتی گزارشی را منتشر کرد که در آن اکسپلویت های Web3 را در سال ۲۰۲۲ دسته بندی کرد و به این نتیجه رسید که تقریباً نیمی از زیرساخت یا عناصر متمرکز هستند.

گزارش جدیدی از پلتفرم امنیتی بلاک چین Immunefi نشان می‌دهد که تقریباً نیمی از کل رمزارزهای از دست رفته از سوء استفاده‌های Web3 به دلیل مسائل امنیتی Web2 مانند کلیدهای خصوصی لو رفته است.

این گزارش که در ۱۵ نوامبر منتشر شد، به تاریخچه سوء استفاده های رمزنگاری در سال ۲۰۲۲ نگاه می کند و آنها را در انواع مختلف آسیب پذیری دسته بندی می کند.

نتیجه گیری شد که ۴۶.۴۸ درصد از ارزهای رمزنگاری شده از دست رفته در سال ۲۰۲۲ ناشی از نقص قراردادهای هوشمند نیست، بلکه ناشی از ضعف های زیرساخت یا مشکلات سیستم های کامپیوتری شرکت در حال توسعه است.

دسته بندی آسیب پذیری های Web3

با در نظر گرفتن تعداد رخدادها به جای ارزش از دست رفته ارزهای دیجیتال، آسیب‌پذیری‌های Web2 با ۲۶.۵۶ درصد، بخش کوچک‌تری از کل را تشکیل می‌دادند، اگرچه هنوز دومین دسته بزرگ بودند.

گزارش Immunefi کلاهبرداری های خروج از کشور یا دیگر کلاهبرداری ها و همچنین سوء استفاده هایی را که صرفاً به دلیل دستکاری در بازار رخ داده است، حذف کرد.

فقط حملاتی را در نظر می گرفت که به دلیل آسیب پذیری امنیتی رخ داده بودند. از این میان، مشخص شد که حملات به سه دسته کلی تقسیم می شوند.

اول، برخی از حملات به این دلیل رخ می دهد که قرارداد هوشمند حاوی یک نقص طراحی است. Immunefi هک BNB Chain bridge را به عنوان نمونه ای از این نوع آسیب پذیری ذکر کرد.

دوم، برخی از حملات به این دلیل رخ می‌دهند که، حتی اگر قرارداد هوشمند به خوبی طراحی شده باشد، کد پیاده‌سازی طراحی ناقص است. Immunefi هک Qbit را به عنوان نمونه ای از این دسته ذکر کرد.

در نهایت، دسته سوم آسیب‌پذیری «ضعف‌های زیرساختی» است که Immunefi آن را به عنوان «زیرساخت فناوری اطلاعاتی که قرارداد هوشمند بر روی آن اجرا می‌شود – برای مثال ماشین‌های مجازی، کلیدهای خصوصی و غیره تعریف کرد.

به عنوان نمونه ای از این نوع آسیب پذیری، Immunefi هک پل Ronin را فهرست کرده است که توسط مهاجمی که کنترل پنج امضا از نه امضای اعتبارسنجی گره های Ronin را به دست می گیرد، ایجاد شده است.

Immunefi این دسته ها را بیشتر به زیر شاخه ها تقسیم کرد. وقتی صحبت از ضعف‌های زیرساختی به میان می‌آید، این موارد می‌تواند ناشی از نشت یک کلید خصوصی توسط کارمند (به عنوان مثال، با انتقال آن در یک کانال ناامن)، استفاده از یک عبارت عبور ضعیف برای یک صندوق کلید، مشکلات احراز هویت دو مرحله‌ای، ربودن DNS، ربودن BGP، به خطر افتادن کیف hot wallet، یا استفاده از روش های رمزگذاری ضعیف و ذخیره آنها در متن ساده باشد.

در حالی که این آسیب‌پذیری‌های زیرساخت بیشترین میزان تلفات را در مقایسه با سایر دسته‌ها ایجاد کردند، دومین علت بزرگ تلفات «مشکلات رمزنگاری» مانند خطاهای Merkle tree، قابلیت پخش مجدد امضا و تولید اعداد تصادفی قابل پیش‌بینی بود.

مسائل رمزنگاری منجر به ۲۰.۵۸ درصد از ارزش کل ضرر در سال ۲۰۲۲ شد.

در این گزارش آمده است که یکی دیگر از آسیب‌پذیری‌های رایج «کنترل دسترسی ضعیف/فقدان اعتبارسنجی ورودی» بود.

این نوع نقص از نظر ارزش تنها ۴.۶۲ درصد از ضررها را به همراه داشت، اما از نظر تعداد حوادث بیشترین سهم را داشت، زیرا ۳۰.۴۷ درصد از کل حوادث ناشی از آن بود.