(SeaPRwire) – SINGAPORE , Nov. 15, 2023 — , ang nangungunang platform para sa pagbabayad ng mga bug at serbisyo sa seguridad para sa web3, ay nag-anunsyo ng pagpapalabas ng kanilang ulat na may pamagat na The True Origin Of Hacks & Top Web3 Vulnerabilities. Ipinakikilala nito ang Vulnerability Classification Standard para sa Web3 at nagbibigay ng malalim na pananaliksik tungkol sa tunay na sanhi ng pinakamasamang mga kahinaan.
Ang Vulnerability Classification Standard para sa Web3
Nag-analisa ang Immunefi ng 128 teknikal na mga kahinaan na humantong sa mga hack at pagkalugi noong 2022. Tinangi ng Immunefi ang mga teknikal na kahinaan mula sa fraud (social engineering, scams, at rug pulls), dahil hindi ito nasisimulan ng anumang code o disenyo ng smart contract.
Napakita ng pananaliksik na ang mga tunay na sanhi ng mga hack ay nakalagay sa tatlong malinaw na nakikilalang mga kategorya:
- Pagkakamali sa disenyo/lohika ng smart contract: kapag hindi tama ang pag-uugali ng proyekto batay sa papel. Isang halimbawa nito ang pag-atake sa BNB Chain noong Oktubre 2022, na humantong sa pagkalugi na $570 milyon.
- Mababang pagkodigo/pagpapatupad ng contract: kapag ang disenyo at imprastraktura ay ligtas, ngunit naglalaman ng mga kahinaan ang code. Isang halimbawa nito ang pag-atake sa Qubit noong Enero 2022, na humantong sa pagkalugi na $80 milyon.
- Kahinaan sa imprastraktura: ang IT-imprastraktura kung saan gumagana ang isang smart contract – halimbawa virtual machines, private keys, etc. Maaaring humantong ang pagkakalantad sa imprastraktura sa mga hack at pagkalugi, kahit na maayos ang disenyo, pagkodigo, at pagsubok ng smart contract. Ang mataas na propayl na pag-atake sa Ronin Network noong Marso 2022, na humantong sa pagkalugi na $625 milyon, ay isang halimbawa.
Inilabas ng Immunefi ang tatlong pangunahing domain ng mga kahinaan sa mas maliliit na sub-domain. Makikita ang buong classification .
Ang Pinakamasamang Mga Kahinaan
- Ang imprastraktura ang hari. 46.5% ng lahat ng mga hack noong 2022 ay nangyari dahil sa imprastraktura, hal. mababang paghawak ng private key. Itong humantong sa higit sa $1.7 bilyong pagkalugi. Karaniwang nakatutok ang mga developer at mananaliksik sa pagdidisenyo at pagkodigo ng protocol ng smart contract, na bumubuo sa pangunahing bahagi ng mga proyekto ng web3, ngunit madalas ay nasa ibaba ang panganib. Walang pagkakasala na ang imprastraktura ang pangunahing pagkakaiba sa pagitan ng DeFi at CeFi projects. 11 sa 13 exploits sa CeFi ay nakaugat sa imprastraktura.
- Ang pinakamalaking isyu sa imprastraktura ay ang paghawak ng private key, na mahalaga upang mapanatili ang pag-aari ng sarili sa crypto assets. Karaniwan, hindi pinagdaraanan ng security audit ang paghawak ng private key, at hindi lahat ng mga proyekto ng web3 ay may sapat na pag-aalala sa mahigpit na patakaran, gawain, o mga plano sa emergency tungkol dito.
- Madalas nagkakamali at nagpapakilala ng mga kahinaan ang mga developer sa smart contracts kaugnay ng access control, input validation, at arithmetic operations. Ito ay humantong sa halos 37.5% ng lahat ng insidente. Maswerte, ang pinsala sa pera ay kaunti lamang, na kumakatawan sa 5% lamang.
- Ang mga bridge hack ay naglalaro ng mahalagang papel sa mga pagkalugi. Ang mga blockchain ay napakahiwalay na environment; mahirap ang pagkonekta sa pagitan ng dalawang blockchain at karaniwan ay pumapasok ang mga third party upang itayo ang tinatawag na bridge upang makahanap ng paraan upang i-connect ang dalawang blockchain. Ang pangunahing functionality ng isang bridge ay i-lock ang mga pondo mula sa isang blockchain at i-release ang katumbas na halaga ng mga pondo sa kabilang blockchain. Kung may maliit na problema sa ganitong proof generation o verification, maaaring nakawin ng isang masamang aktor ang mga pondo sa isang side ng bridge.
“Ang mga proyekto ng web3 ay napakalawak at maaaring atakihin sa maraming vector”, ayon kay Mitchell Amador, CEO ng Immunefi. “Ang pamantayang metodolohiya na ating inilabas ay nagpapakita na nananatiling kategorya ang mga isyu sa imprastraktura. Bagaman maaaring mabuti ang disenyo, pagkodigo at pagsubok ng isang smart contract, maaaring kompromiso ang imprastraktura kung saan ito gumagana, at humantong sa napakalaking mga pagkalugi.”
Ang Immunefi ang pinakamalaking at pinakawidely na ginagamit na platform para sa pagbabayad ng mga bug sa web3 na pinagkakatiwalaan ng mga nakatatag at multi-bilyong dolyar na mga proyekto gaya ng Chainlink, Wormhole, MakerDAO, TheGraph, Synthetix, at iba pa. Nakabayad na ang kompanya ng pinakamalaking mga bayad para sa mga bug sa industriya ng software, na umabot sa higit sa $85 milyon, at nanguna sa pagtataguyod ng scaling web3 bug bounties standard. Para sa karagdagang impormasyon, mangyaring bisitahin ang
Ang artikulo ay ibinigay ng third-party content provider. Walang garantiya o representasyon na ibinigay ng SeaPRwire (https://www.seaprwire.com/) kaugnay nito.
Mga Sektor: Pangunahing Isturya, Balita Araw-araw
Nagbibigay ang SeaPRwire ng mga serbisyo sa pagpapamahagi ng press release sa mga global na kliyente sa maraming wika (Hong Kong: HKChacha , BuzzHongKong ; Singapore: SingdaoPR , TodayinSG , AsiaFeatured ; Thailand: THNewson , ThailandLatest ; Indonesia: SEATribune , IndonesiaFolk ; Philippines: PHNewLook , EventPH , PHBizNews ; Malaysia: BeritaPagi , SEANewswire ; Vietnam: VNFeatured , SEANewsDesk ; Arab: DubaiLite , ArabicDir , HunaTimes ; Taiwan: TWZip , TaipeiCool ; Germany: NachMedia , dePresseNow )
CONTACT: jonah at immunefi.com