Um novo relatório da plataforma de segurança de blockchain Immunefi sugere que quase metade de todas as criptomoedas perdidas em decorrência de explorações da Web3 foram roubadas devido a problemas de segurança da Web2, como o vazamento de chaves privadas.
O relatório, divulgado em 15 de novembro, analisou o histórico de explorações de criptomoedas em 2022, categorizando-as de acordo com diferentes tipos de vulnerabilidades. Concluiu-se que 46,48% das criptomoedas perdidas em decorrência de explorações em 2022 não foram causadas por falhas em contratos inteligentes, mas sim por "vulnerabilidades de infraestrutura" ou problemas com os sistemas de computação da empresa desenvolvedora.
Ao considerar o número de incidentes em vez do valor das criptomoedas perdidas, as vulnerabilidades da Web2 representaram uma parcela menor do total, com 26,56%, embora ainda ocupassem o segundo lugar do ranking.
O relatório da Immunefi excluiu os golpes de saída ou outras fraudes, bem como as explorações que ocorreram somente devido a manipulações de mercado. A empresa considerou apenas os ataques que ocorreram devido a alguma vulnerabilidade de segurança.
Desses, o relatório constatou que os ataques se enquadram em três categorias amplas. Primeiro, alguns ataques ocorrem porque o contrato inteligente contém uma falha de design. A Immunefi citou o hack da ponte da BNB Chain como um exemplo desse tipo de vulnerabilidade. Em segundo lugar, alguns ataques ocorrem porque, embora o contrato inteligente seja bem projetado, o código que implementa o projeto é falho. A Immunefi citou o hack do Qbit como um exemplo dessa categoria.
Por fim, uma terceira categoria de vulnerabilidade são os "pontos fracos da infraestrutura", que a Immunefi definiu como "a infraestrutura de TI na qual um contrato inteligente opera. Por exemplo, máquinas virtuais, chaves privadas etc.". Como exemplo desse tipo de vulnerabilidade, a Immunefi listou o hack da ponte Ronin, que foi causado por um invasor que obteve o controle de cinco das nove assinaturas de validação dos nós da Ronin.
A Immunefi dividiu ainda mais essas categorias em subcategorias. Quando se trata de fraquezas de infraestrutura, elas podem ser causadas por um funcionário que vaza uma chave privada (por exemplo, transmitindo-a por um canal inseguro), usando uma senha fraca para proteger um cofre de chaves, problemas com autenticação de dois fatores, sequestro de DNS, sequestro de BGP, comprometimento de uma carteira quente ou usando métodos de criptografia fracos e armazenando-os em texto simples.
Embora essas vulnerabilidades de infraestrutura tenham causado a maior quantidade de perdas em comparação com outras categorias, a segunda maior causa de perdas foram os "problemas criptográficos", como erros em árvores de Merkle, capacidade de reprodução de assinaturas e geração previsível de números aleatórios. Os problemas criptográficos resultaram em 20,58% do valor total das perdas em 2022.
Outra vulnerabilidade comum foi o "controle de acesso e/ou validação de entrada fracos ou ausentes", segundo o relatório. Esse tipo de falha resultou em apenas 4,62% das perdas em termos de valor total, mas foi o de maior incidência em termos de número de ocorrências, pois 30,47% de todos os incidentes foram causados por ele.
LEIA MAIS