Ein neuer Bericht der Blockchain-Sicherheitsplattform Immunefi legt nahe, dass fast die Hälfte aller durch Web3-Exploits verlorenen Kryptos auf Web2-Sicherheitsprobleme wie durchgesickerte private Schlüssel zurückzuführen sind. Der am 15. November veröffentlichte Bericht blickte auf die Geschichte der Krypto-Exploits im Jahr 2022 zurück und kategorisierte sie in verschiedene Arten von Schwachstellen. Es abgeschlossen dass ganze 46,48 % der durch Exploits im Jahr 2022 verlorenen Kryptowährungen nicht auf Mängel bei Smart Contracts zurückzuführen waren, sondern vielmehr auf „Infrastrukturschwächen“ oder Probleme mit den Computersystemen des Entwicklungsunternehmens.
Betrachtet man die Anzahl der Vorfälle und nicht den Wert der verlorenen Kryptowährungen, so machten Web2-Schwachstellen mit 26,56 % einen geringeren Anteil der Gesamtzahl aus, obwohl sie immer noch die zweitgrößte Kategorie darstellten.
Der Bericht von Immunefi schloss Exit-Scams oder andere Betrügereien sowie Exploits aus, die ausschließlich auf Marktmanipulationen zurückzuführen waren. Es wurden nur Angriffe berücksichtigt, die aufgrund einer Sicherheitslücke erfolgten. Es wurde festgestellt, dass Angriffe in drei große Kategorien unterteilt werden können. Erstens kommt es zu einigen Angriffen, weil der Smart Contract einen Designfehler enthält. Als Beispiel für diese Art von Schwachstelle nannte Immunefi den BNB-Chain-Bridge-Hack. Zweitens kommt es zu einigen Angriffen, weil der Smart Contract zwar gut konzipiert ist, der Code, der das Design implementiert, jedoch fehlerhaft ist. Als Beispiel für diese Kategorie nannte Immunefi den Qbit-Hack.
Eine dritte Kategorie von Schwachstellen schließlich sind „Infrastrukturschwächen“, die Immunefi als „die IT-Infrastruktur, auf der ein Smart Contract läuft – zum Beispiel virtuelle Maschinen, private Schlüssel usw.“ definierte. Als Beispiel für diese Art von Schwachstelle führte Immunefi den Ronin-Bridge-Hack auf, der dadurch verursacht wurde, dass ein Angreifer die Kontrolle über fünf von neun Ronin-Node-Validator-Signaturen erlangte.
Verwandt: Die Uniswap-DAO-Debatte zeigt, dass Entwickler immer noch Schwierigkeiten haben, Cross-Chain-Brücken zu sichern
Immunefi hat diese Kategorien weiter in Unterkategorien unterteilt. Wenn es um Infrastrukturschwächen geht, können diese dadurch verursacht werden, dass ein Mitarbeiter einen privaten Schlüssel preisgibt (z. B. indem er ihn über einen unsicheren Kanal überträgt), eine schwache Passphrase für einen Schlüsseltresor verwendet, Probleme mit der Zwei-Faktor-Authentifizierung, DNS-Hijacking usw. BGP-Hijacking, eine Hot-Wallet-Kompromittierung oder die Verwendung schwacher Verschlüsselungsmethoden und deren Speicherung im Klartext.
Während diese Infrastrukturschwachstellen im Vergleich zu anderen Kategorien die größten Verluste verursachten, waren „kryptografische Probleme“ wie Merkle-Tree-Fehler, Wiederspielbarkeit von Signaturen und die Erzeugung vorhersehbarer Zufallszahlen die zweitgrößte Verlustursache. Kryptografische Probleme machten im Jahr 2022 20,58 % des Gesamtwerts der Verluste aus.
Eine weitere häufige Schwachstelle sei „schwache/fehlende Zugriffskontrolle und/oder Eingabevalidierung“, heißt es in dem Bericht. Diese Art von Fehler verursachte wertmäßig nur 4,62 % der Verluste, war aber gemessen an der Anzahl der Vorfälle der größte Verursacher, da 30,47 % aller Vorfälle dadurch verursacht wurden.