Một báo cáo mới từ nền tảng bảo mật blockchain Immunefi cho thấy rằng gần một nửa số tiền điện tử bị mất do khai thác Web3 là do các vấn đề bảo mật Web2 như khóa riêng bị rò rỉ. Báo cáo được phát hành vào ngày 15 tháng 11 đã nhìn lại lịch sử khai thác tiền điện tử vào năm 2022, phân loại chúng thành các loại lỗ hổng khác nhau. Nó kết luận rằng toàn bộ 46,48% tiền điện tử bị mất do khai thác vào năm 2022 không phải do lỗi hợp đồng thông minh mà là do “điểm yếu về cơ sở hạ tầng” hoặc các vấn đề với hệ thống máy tính của công ty đang phát triển.

Các loại lỗ hổng Web3. Nguồn: Immunefi.

Khi xem xét số lượng sự cố thay vì giá trị tiền điện tử bị mất, lỗ hổng Web2 chiếm một phần nhỏ hơn trong tổng số 26,56%, mặc dù chúng vẫn là loại lớn thứ hai.

Báo cáo của Immunefi đã loại trừ các trò gian lận thoát hoặc các gian lận khác, cũng như các hành vi khai thác xảy ra chỉ do thao túng thị trường. Nó chỉ xem xét các cuộc tấn công xảy ra do lỗ hổng bảo mật. Trong số này, nó phát hiện ra rằng các cuộc tấn công rơi vào ba loại lớn. Đầu tiên, một số cuộc tấn công xảy ra do hợp đồng thông minh có lỗi thiết kế. Immunefi đã trích dẫn vụ hack cầu BNB Chain làm ví dụ về loại lỗ hổng này. Thứ hai, một số cuộc tấn công xảy ra vì mặc dù hợp đồng thông minh được thiết kế tốt nhưng mã triển khai thiết kế lại có sai sót. Immunefi trích dẫn vụ hack Qbit làm ví dụ cho loại này.

Cuối cùng, loại lỗ hổng thứ ba là “điểm yếu của cơ sở hạ tầng”, mà Immunefi định nghĩa là “cơ sở hạ tầng CNTT nơi hợp đồng thông minh vận hành—ví dụ: máy ảo, khóa riêng, v.v.” Lấy ví dụ về loại lỗ hổng này, Immunefi đã liệt kê vụ hack cầu Ronin , nguyên nhân là do kẻ tấn công giành quyền kiểm soát 5 trong số 9 chữ ký xác thực nút Ronin.

Liên quan: Cuộc tranh luận về Uniswap DAO cho thấy các nhà phát triển vẫn đang gặp khó khăn trong việc đảm bảo các cầu nối chuỗi chéo

Immunefi chia nhỏ các danh mục này thành các danh mục phụ. Khi nói đến điểm yếu của cơ sở hạ tầng, những điểm yếu này có thể do nhân viên rò rỉ khóa riêng (ví dụ: bằng cách truyền khóa qua kênh không an toàn), sử dụng cụm mật khẩu yếu cho kho khóa, sự cố với xác thực 2 yếu tố, chiếm quyền điều khiển DNS, Chiếm quyền điều khiển BGP, xâm phạm ví nóng hoặc sử dụng các phương pháp mã hóa yếu và lưu trữ chúng ở dạng bản rõ.

Mặc dù các lỗ hổng cơ sở hạ tầng này gây ra tổn thất lớn nhất so với các danh mục khác, nhưng nguyên nhân gây tổn thất lớn thứ hai là “các vấn đề về mật mã” như lỗi cây Merkle, khả năng phát lại chữ ký và tạo số ngẫu nhiên có thể dự đoán được. Các vấn đề về mật mã gây ra 20,58% tổng giá trị tổn thất vào năm 2022.

Báo cáo nêu rõ một lỗ hổng phổ biến khác là “kiểm soát truy cập yếu/thiếu và/hoặc xác thực đầu vào”. Loại lỗ hổng này chỉ gây ra 4,62% tổn thất về giá trị nhưng lại là nguyên nhân lớn nhất xét về số lượng sự cố, vì 30,47% tổng số sự cố là do nó gây ra.