(SeaPRwire) –   SINGAPURA, 15 Nov 2023 — Immunefi, platform terkemuka untuk anugerah ganjaran celahan dan perkhidmatan keselamatan untuk web3, telah mengumumkan pengeluaran laporan mereka bertajuk Asal Sebenar Serangan & Top Kelemahan Keselamatan Web3. Laporan ini memperkenalkan Piawaian Pengkelasan Kelemahan untuk Web3 dan memberikan kajian mendalam mengenai punca asal kelemahan yang paling merosakkan.

Piawaian Pengkelasan Kelemahan untuk Web3
Immunefi telah menganalisis 128 kelemahan teknikal yang menyebabkan serangan dan kerugian pada tahun 2022. Immunefi membezakan kelemahan teknikal daripada penipuan (kejuruteraan sosial, scam, dan tarikan belakang), kerana ia tidak dipicu oleh sebarang kesilapan kod atau reka bentuk kontrak pintar.

Penyelidikan mendedahkan bahawa punca asal serangan jatuh ke dalam tiga kategori yang boleh dikenalpasti dengan jelas:

  • Kegagalan dalam reka bentuk/logik kontrak pintar: apabila projek yang dilukiskan secara bertulis berkelakuan dengan salah. Contoh utama ini ialah serangan ke atas Rantai BNB pada Oktober 2022, yang menyebabkan kerugian sebanyak $570 juta.
  • Pengekodan/pelaksanaan kontrak yang lemah: apabila reka bentuk dan infrastruktur selamat, tetapi kod mengandungi kelemahan. Satu contoh ialah serangan ke atas Qubit pada Januari 2022, yang menyebabkan kerugian sebanyak $80 juta.
  • Kelemahan infrastruktur: infrastruktur IT di mana kontrak pintar beroperasi — contohnya mesin maya, kunci peribadi, dan sebagainya. Pendedahan infrastruktur boleh menyebabkan serangan dan kerugian, walaupun kontrak pintar itu sendiri telah direka bentuk, ditulis, dan diuji dengan baik. Serangan besar-besaran ke atas Rangkaian Ronin pada Mac 2022, yang menyebabkan kerugian sebanyak $625 juta, adalah contohnya.

Immunefi telah membahagikan tiga domain utama kelemahan ke dalam sub-domain yang tertumpu. Pengkelasan penuh boleh didapati .

Kelemahan Paling Merosakkan

  • Infrastruktur adalah raja. 46.5% daripada semua serangan pada tahun 2022 dari segi wang telah berlaku melalui infrastruktur, contohnya pengendalian kunci peribadi yang lemah. Ia menjana lebih $1.7 bilion kerugian. Pembangun dan penyelidik biasanya memberi tumpuan kepada mereka bentuk dan mengekodkan protokol kontrak pintar, yang membentuk teras projek web3, tetapi terlalu sering bahaya bersembunyi satu peringkat di bawah. Tiada kejutan bahawa infrastruktur khususnya adalah pembeza utama antara projek DeFi dan CeFi. 11 daripada 13 eksploitasi dalam CeFi bersifat infrastruktur.
  • Isu infrastruktur terbesar ialah pengurusan kunci peribadi, yang penting untuk mengekalkan penyimpanan sendiri aset kripto. Biasanya, dasar dan amalan pengurusan kunci peribadi tidak menjalani audit keselamatan, dan bukan semua projek web3 memperdulikan dasar, amalan, atau rancangan kecemasan pengurusan kunci yang ketat.
  • Pembangun membuat kesilapan dan memperkenalkan kelemahan terlalu kerap dalam kontrak pintar berkenaan dengan kawalan akses, pengesahan input, dan operasi aritmetik. Ini mengakibatkan hampir 37.5% kejadian. Untung bagi, kerosakan mereka dalam tunai adalah kecil, mewakili hanya 5%.
  • Serangan jambatan memainkan peranan penting dalam kerugian. Rantai blok adalah persekitaran yang sangat terasing; komunikasi antara rantai blok tidak mudah, dan pihak ketiga sering melangkah untuk membina apa yang dikenali sebagai jambatan untuk mencari cara untuk menyambungkan kedua-dua rantai blok bersama. Fungsi asas jambatan adalah untuk mengunci dana daripada satu rantai blok dan melepaskan nilai setara dana pada rantai blok yang lain. Jika terdapat masalah kecil dengan penjanaan atau pengesahan bukti sedemikian, pelaku jahat mungkin mencuri dana di satu sisi jambatan.

“Projek web3 adalah amat kompleks dan boleh diserang melalui beberapa vektor”, kata Mitchell Amador, CEO Immunefi. “Metodologi piawai yang kami kembangkan menekankan fakta bahawa isu infrastruktur masih merupakan kategori dominan. Walaupun kontrak pintar itu sendiri boleh direka bentuk, ditulis, dan diuji dengan baik, infrastruktur di atas yang ia beroperasi boleh dikompromi, dan menyebabkan kerugian yang amat besar.”

Immunefi adalah platform anugerah ganjaran celahan dan perkhidmatan keselamatan terbesar dan paling meluas digunakan untuk web3 yang dipercayai oleh projek yang ditubuhkan seperti Chainlink, Wormhole, MakerDAO, TheGraph, Synthetix, dan lain-lain. Syarikat ini telah membayar ganjaran celahan paling besar dalam industri perisian, bernilai lebih $85 juta, dan telah memperkenalkan piawaian skala besar anugerah ganjaran celahan untuk web3. Untuk maklumat lanjut, sila lawati

Artikel ini disediakan oleh pembekal kandungan pihak ketiga. SeaPRwire (https://www.seaprwire.com/) tidak memberi sebarang waranti atau perwakilan berkaitan dengannya.

Sektor: Top Story, Berita Harian

SeaPRwire menyediakan perkhidmatan pengedaran siaran akhbar kepada pelanggan global dalam pelbagai bahasa (Hong Kong: HKChacha , BuzzHongKong ; Singapore: SingdaoPR , TodayinSG , AsiaFeatured ; Thailand: THNewson , ThailandLatest ; Indonesia: SEATribune , IndonesiaFolk ; Philippines: PHNewLook , EventPH , PHBizNews ; Malaysia: BeritaPagi , SEANewswire ; Vietnam: VNFeatured , SEANewsDesk ; Arab: DubaiLite , ArabicDir , HunaTimes ; Taiwan: TWZip , TaipeiCool ; Germany: NachMedia , dePresseNow ) 

HUBUNGI: jonah di immunefi.com