Un nuevo informe de la plataforma de seguridad blockchain Immunefi sugiere que casi la mitad de todas las criptomonedas perdidas por ataques de Website3 se debe a problemas de seguridad de Website2, como la filtración de claves privadas. El informe, publicado el 15 de noviembre, analizó la historia de los exploits criptográficos en 2022, clasificándolos en diferentes tipos de vulnerabilidades. Concluyó que un 46,48% de las criptomonedas perdidas por exploits en 2022 no se debió a fallas en los contratos inteligentes, sino a «debilidades de la infraestructura» o problemas con los sistemas informáticos de la empresa en desarrollo.
Al considerar la cantidad de incidentes en lugar del valor de las criptomonedas perdidas, las vulnerabilidades Internet2 representaron una porción menor del total con un 26,56 %, aunque seguían siendo la segunda categoría más grande.
El informe de Immunefi excluyó las estafas de salida u otros fraudes, así como los exploits que ocurrieron únicamente debido a manipulaciones del mercado. Sólo consideró los ataques que ocurrieron debido a una vulnerabilidad de seguridad. De estos, encontró que los ataques se dividen en tres categorías amplias. Primero, algunos ataques ocurren porque el contrato inteligente contiene un defecto de diseño. Immunefi citó el hack del puente BNB Chain como ejemplo de este tipo de vulnerabilidad. En segundo lugar, algunos ataques ocurren porque, aunque el contrato inteligente está bien diseñado, el código que implementa el diseño es defectuoso. Immunefi citó el hack de Qbit como ejemplo de esta categoría.
Finalmente, una tercera categoría de vulnerabilidad son las «debilidades de la infraestructura», que Immunefi definió como «la infraestructura de TI en la que opera un contrato inteligente, por ejemplo, máquinas virtuales, claves privadas, and so on.» Como ejemplo de este tipo de vulnerabilidad, Immunefi enumeró el hack del puente Ronin, que fue causado por un atacante que obtuvo el handle de cinco de las nueve firmas de validación de nodos Ronin.
Relacionado: El discussion de Uniswap DAO muestra que los desarrolladores todavía luchan por asegurar puentes entre cadenas
Immunefi dividió estas categorías en subcategorías. Cuando se trata de debilidades de infraestructura, estas pueden deberse a que un empleado filtre una clave privada (por ejemplo, al transmitirla a través de un canal inseguro), use una frase de contraseña débil para una bóveda de claves, problemas con la autenticación de dos factores, secuestro de DNS, Secuestro de BGP, compromiso de una billetera activa o uso de métodos de cifrado débiles y almacenamiento en texto sin formato.
Si bien estas vulnerabilidades de infraestructura causaron la mayor cantidad de pérdidas en comparación con otras categorías, la segunda causa más importante de pérdidas fueron los «problemas criptográficos», como los errores del árbol Merkle, la capacidad de reproducción de firmas y la generación predecible de números aleatorios. Las emisiones criptográficas representaron el 20,58% del valor overall de las pérdidas en 2022.
Otra vulnerabilidad común fue “control de acceso débil o faltante y/o validación de entrada”, según el informe. Este tipo de fallo generó sólo el 4,62% de las pérdidas en términos de valor, pero fue el que más contribuyó en términos de número de incidentes, ya que el 30,47% del full de incidentes fueron causados por él.
