区块链安全平台Immunefi的一份新报告表明,Web3漏洞攻击导致的所有加密货币损失中,近一半是由于Web2安全问题,如私钥泄露。该报告于11月15日发布,回顾了2022年加密漏洞利用的历史,将其分为不同类型的漏洞。它得出的结论是,2022年因漏洞攻击而损失的加密货币中,有46.48%不是由于智能合约缺陷,而是由于“基础设施薄弱”或开发公司的计算机系统问题。
当考虑到事件数量而不是加密货币损失的价值时,Web2漏洞在总数中所占比例较小,为26.56%,尽管它们仍然是第二大类别。
Immunefi的报告排除了出境骗局或其他欺诈行为,以及仅因市场操纵而发生的漏洞利用。它只考虑了由于安全漏洞而发生的攻击。研究发现,在这些袭击中,袭击分为三大类。首先,发生一些攻击是因为智能合约包含设计缺陷。Immunefi引用了BNB链桥黑客攻击作为此类漏洞的一个例子。其次,发生一些攻击是因为,尽管智能合约设计得很好,但实现设计的代码存在缺陷。Immunefi引用了Qbit黑客攻击作为这一类别的一个例子。
最后,第三类漏洞是“基础设施弱点”,Immunefi将其定义为“智能合约运行的IT基础设施,例如虚拟机、私钥等。
相关:Uniswap DAO辩论表明开发者仍在努力确保跨链桥梁的安全
Immunefi将这些类别进一步细分为子类别。当涉及到基础设施弱点时,这些弱点可能是由员工泄露私钥(例如,通过不安全的通道传输私钥)、为密钥库使用弱密码短语、双因素身份验证问题、DNS劫持、BGP劫持、热钱包泄露,或使用弱加密方法并以明文存储引起的。
虽然与其他类别相比,这些基础设施漏洞造成的损失最大,但损失的第二大原因是“加密问题”,如Merkle树错误、签名可重放性和可预测的随机数生成。密码问题导致2022年损失总额的20.58%。
报告指出,另一个常见的漏洞是“访问控制和/或输入验证薄弱/缺失”。就价值而言,这类缺陷仅造成4.62%的损失,但就事故数量而言,它是最大的原因,因为30.47%的事故是由它造成的。
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈