Immunefi报告46.5%的资金损失来源于传统网络Web2的安全问题

(SeaPRwire) –   新加坡,2023年11月15日 —— Immunefi,领先的Web3漏洞奖励和安全服务平台,宣布发布报告《黑客攻击和顶级Web3漏洞的真正来源》。该报告介绍了Web3漏洞分类标准,并对2022年最严重漏洞的根本原因进行深入研究。

Web3漏洞分类标准
Immunefi分析了2022年导致黑客攻击和损失的128个技术漏洞。Immunefi将技术漏洞与欺诈(社交工程学、骗局和拉钩)区分开来,因为后者不是由任何代码或智能合约设计缺陷引起的。

Immunefi的研究显示,黑客攻击的根本原因可以分为三个明确的类别:

• 智能合约设计/逻辑错误:纸面设计与实际行为不一致。2022年10月BNB链遭受的570亿美元损失就是一个典型例子。
• 合约代码实现错误:设计和基础设施是安全的,但代码存在漏洞。2022年1月Qubit遭受的8亿美元损失就是一个例子。
• 基础设施弱点:智能合约运行的IT基础设施——例如虚拟机、私钥等。即使智能合约本身设计、编写和测试都很好,基础设施暴露也可能导致黑客攻击和损失。2022年3月Ronin Network遭受的6.25亿美元损失就是一个例子。

Immunefi将三大类型的漏洞细分为多个具体子类型。完整分类可在找到。

最严重的漏洞

• 基础设施至关重要。2022年46.5%的所有黑客攻击在金额上都源于基础设施,如私钥管理不当,导致超过17亿美元损失。开发人员和研究人员通常都会重点关注设计和编码智能合约协议本身,但很多时候危险潜伏在更低一层。CeFi项目中,13次攻击中有11次源于基础设施。
• 最大的基础设施问题就是私钥管理,这对维护自主持有加密资产至关重要。通常私钥管理不会进行安全审计,不所有Web3项目都会重视严格的私钥管理政策、实践或应急计划。
• 开发人员在访问控制、输入验证和算术操作方面常常会在智能合约中引入漏洞,占所有事件近37.5%。幸运的是,它们造成的实际损失很小,只占5%。
• 桥接攻击在损失中也起重要作用。区块链环境高度隔离;不同区块链之间的通信并不容易,第三方常常提供桥接来连接两个区块链。桥接的基本功能是锁定一个区块链中的资金,在另一个区块链中释放等值资金。如果证明或验证过程中有微小问题,恶意行为者可能会盗取桥接一侧的资金。

“Web3项目极为复杂,可以通过多种向量受到攻击”,Immunefi CEO Mitchell Amador说。“我们制定的标准方法强调基础设施问题仍然是主导类别。尽管智能合约本身设计得很好,但运行它的基础设施可能会被破坏,导致巨大损失。”

Immunefi是Web3领域规模最大、采用最广泛的漏洞奖励平台,被Chainlink、Wormhole、MakerDAO、TheGraph、Synthetix等市值数十亿美元的项目信任。Immunefi支付出了软件行业最大的漏洞奖励,达8.5亿美元,并且帮助用户免受超过2500亿美元损失。

完整报告和标准分类可在找到。Immunefi定期发布名为《加密资产损失》的旗舰行业报告,汇报全年加密资产因黑客攻击和骗局而损失的规模。最近,Immunefi发布了报告。此外,Immunefi还发布了《Web3安全行业调查报告》,调查了Web3安全行业主要挑战、兴趣点和动机。

关于Immunefi

Immunefi是Web3领域领先的漏洞奖励和安全服务平台,提供世界上最大的漏洞奖励。Immunefi保护Synthetix、Chainlink、SushiSwap、Polygon、LayerZero、MakerDAO、TheGraph、Wormhole、Optimism等市值超过500亿美元项目的资金安全。联系方式:jonah at immunefi.com。

本文由第三方内容提供商提供。SeaPRwire (https://www.seaprwire.com/)对此不作任何保证或陈述。

领域: 头条新闻,日常新闻

SeaPRwire 为全球客户提供多语种新闻稿发布服务 (Hong Kong: HKChacha , BuzzHongKong ; Singapore: SingdaoPR , TodayinSG , AsiaFeatured ; Thailand: THNewson , ThailandLatest ; Indonesia: SEATribune , IndonesiaFolk ; Philippines: PHNewLook , EventPH , PHBizNews ; Malaysia: BeritaPagi , SEANewswire ; Vietnam: VNFeatured , SEANewsDesk ; Arab: DubaiLite , ArabicDir , HunaTimes ; Taiwan: TWZip , TaipeiCool ; Germany: NachMedia , dePresseNow )