Immunefi Báo cáo 46,5% các khoản mất mát trong Web3 có nguồn gốc từ các vấn đề bảo mật truyền thống của Web2

0 Comments

(SeaPRwire) –   SINGAPORE, Ngày 15 tháng 11 năm 2023 — Immunefi, nền tảng hàng đầu về tiền thưởng lỗi và dịch vụ bảo mật cho web3, đã công bố báo cáo Nguồn gốc thực sự của các vụ tấn công và lỗ hổng bảo mật hàng đầu trên web3. Báo cáo này giới thiệu Tiêu chuẩn phân loại lỗ hổng cho web3 và cung cấp nghiên cứu sâu rộng về nguyên nhân gốc của các lỗ hổng gây thiệt hại nghiêm trọng nhất.

Tiêu chuẩn phân loại lỗ hổng cho web3
Immunefi đã phân tích 128 lỗ hổng kỹ thuật dẫn đến các vụ tấn công và thiệt hại trong năm 2022. Immunefi phân biệt lỗ hổng kỹ thuật với gian lận (kỹ thuật xã hội, lừa đảo và rút tiền), vì chúng không được kích hoạt bởi bất kỳ lỗi mã hoặc thiết kế hợp đồng thông minh nào.

Nghiên cứu cho thấy nguyên nhân gốc của các vụ tấn công thuộc về ba loại lỗ hổng rõ ràng:

  • Thiếu sót trong thiết kế/logic của hợp đồng thông minh: khi dự án được mô tả trên giấy tờ hoạt động không đúng. Một ví dụ điển hình là cuộc tấn công vào BNB Chain vào tháng 10 năm 2022, dẫn đến thiệt hại 570 triệu USD.
  • Mã hóa/triển khai kém của hợp đồng: khi thiết kế và cơ sở hạ tầng được bảo mật, nhưng mã chứa lỗ hổng. Một trường hợp là cuộc tấn công vào Qubit vào tháng 1 năm 2022, dẫn đến thiệt hại 80 triệu USD.
  • Yếu kém cơ sở hạ tầng: cơ sở hạ tầng CNTT trên đó hợp đồng thông minh hoạt động – ví dụ máy ảo, khóa riêng tư, v.v. Tiếp xúc cơ sở hạ tầng có thể dẫn đến tấn công và thiệt hại, ngay cả khi chính hợp đồng thông minh đã được thiết kế, viết và kiểm thử tốt. Vụ tấn công lớn vào Ronin Network vào tháng 3 năm 2022, dẫn đến thiệt hại 625 triệu USD, là một ví dụ.

Immunefi đã chia ba lĩnh vực lỗ hổng chính thành các lĩnh vực phụ tập trung hơn. Phân loại đầy đủ có thể tìm thấy trên .

Các lỗ hổng gây thiệt hại nghiêm trọng nhất

  • Cơ sở hạ tầng là vua. 46,5% tất cả các vụ tấn công trong năm 2022 về mặt tiền xảy ra thông qua cơ sở hạ tầng, ví dụ quản lý khóa riêng tư kém. Nó tạo ra hơn 1,7 tỷ USD thiệt hại. Nhà phát triển và nhà nghiên cứu thường tập trung vào thiết kế và mã hóa giao thức hợp đồng thông minh, tạo nên hệ sinh thái web3, nhưng quá thường xuyên mối nguy hiểm ẩn nấp ở cấp độ bên dưới.
  • Vấn đề cơ sở hạ tầng lớn nhất là quản lý khóa riêng tư, điều cần thiết để duy trì tự quản lý tài sản tiền điện tử. Thông thường, quản lý khóa riêng tư không phải là điều được kiểm định an ninh và không phải tất cả các dự án web3 đều quan tâm đến chính sách, thực hành và kế hoạch khẩn cấp nghiêm ngặt về quản lý khóa.
  • Nhà phát triển mắc sai lầm và đưa ra lỗ hổng quá thường xuyên trong hợp đồng thông minh liên quan đến điều khiển truy cập, xác thực đầu vào và các phép toán. Điều này chiếm gần 37,5% tất cả các sự cố. May mắn thiệt hại về tiền mặt nhỏ, chỉ chiếm 5%.
  • Cầu nối đóng vai trò quan trọng trong thiệt hại. Blockchains là môi trường cô lập cao; giao tiếp liên chuỗi là không dễ dàng, và bên thứ ba thường can thiệp để xây dựng cầu nối nhằm kết nối hai chuỗi blockchains với nhau. Chức năng cơ bản của cầu nối là khóa quỹ từ một chuỗi blockchain và phát hành giá trị tương đương của quỹ trên chuỗi blockchain khác. Nếu có vấn đề nhỏ với việc tạo hoặc xác minh bằng chứng như vậy, một đối tượng xấu có thể đánh cắp quỹ trên một bên của cầu nối.

“Dự án web3 có độ phức tạp rất lớn và có thể bị tấn công qua nhiều vector”, Mitchell Amador, CEO của Immunefi cho biết. “Phương pháp tiêu chuẩn chúng tôi phát triển nhấn mạnh rằng vấn đề cơ sở hạ tầng vẫn là một phân loại chủ yếu. Mặc dù chính hợp đồng thông minh có thể được thiết kế, viết và kiểm thử tốt, nhưng cơ sở hạ tầng ở trên đó hoạt động có thể bị xâm phạm, dẫn đến thiệt hại to lớn.”

Immunefi là nền tảng tiền thưởng lỗi lớn nhất và được sử dụng rộng rãi nhất trong web3 với các tiền thưởng lớn nhất thế giới. Công ty bảo vệ hơn 50 tỷ USD quỹ người dùng trên các dự án như Synthetix, Chainlink, SushiSwap, Polygon, LayerZero, MakerDAO, TheGraph, Wormhole, Optimism và những người khác. Công ty đã chi trả các khoản tiền thưởng lỗi quan trọng nhất trong ngành phần mềm, với tổng số hơn 85 triệu USD, và đã tiên phong chuẩn mực tiền thưởng lỗi quy mô lớn cho web3. Để biết thêm thông tin, vui lòng truy cập

Bài viết được cung cấp bởi nhà cung cấp nội dung bên thứ ba. SeaPRwire (https://www.seaprwire.com/) không đưa ra bảo đảm hoặc tuyên bố liên quan đến điều đó.

Lĩnh vực: Tin nổi bật, Tin tức hàng ngày

SeaPRwire cung cấp dịch vụ phân phối thông cáo báo chí cho khách hàng toàn cầu bằng nhiều ngôn ngữ (Hong Kong: HKChacha , BuzzHongKong ; Singapore: SingdaoPR , TodayinSG , AsiaFeatured ; Thailand: THNewson , ThailandLatest ; Indonesia: SEATribune , IndonesiaFolk ; Philippines: PHNewLook , EventPH , PHBizNews ; Malaysia: BeritaPagi , SEANewswire ; Vietnam: VNFeatured , SEANewsDesk ; Arab: DubaiLite , ArabicDir , HunaTimes ; Taiwan: TWZip , TaipeiCool ; Germany: NachMedia , dePresseNow ) 

LIÊN HỆ: jonah tại immunefi.com

Thêm tin tức

Author

by eva
eva@pressvn.com