گزارش جدیدی از پلتفرم امنیت بلاکچین ایمیونفای (Immunefi) نشان میدهد که تقریباً نیمی از کل ارزهای دیجیتال سرقتی در وب 3.0 به دلیل نقصهای امنیتی در وب 2.0 مانند کلیدهای خصوصی لو رفتهاست.
این گزارش که در 15 نوامبر منتشر شد، به تاریخچه کلاهبرداریهای کریپتو در سال 2022 نگاه میکند و آنها را از نظر انواع مختلف آسیبپذیری دستهبندی میکند. نتیجه این بود که 46.48 درصد از سرقتهای ارز دیجیتال در سال 2022 ناشی از نقص قراردادهای هوشمند نیست، بلکه به دلیل “ضعف های زیرساخت” یا مشکلات سیستمهای رایانهای شرکت مورد نظر است.
از نظر تعداد حملات هکری در مقایسه با میزان ارزش سرقتشده، آسیبپذیریهای وب 2.0 با 26.56 درصد، بخش کوچکتری از کل را تشکیل میدادند. البته در این دستهبندی نیز رتیه دوم را به خود اختصاص دادند.
ایمیونفای در گزارش خود اگزیت اسکمها یا سایر کلاهبرداریها و همچنین سوءاستفادههایی را که صرفاً به دلیل دستکاریهای بازار رخ دادهاست را مستثنی کرد. بلکه فقط حملاتی را در نظر گرفت که به دلیل آسیب پذیری امنیتی رخ دادهبودند. از این میان، مشخص شد که حملات به سه دسته کلی تقسیم میشوند.
دسته بندی حملات هکری فضای وب 3.0
اول، برخی از حملات به این دلیل رخ می دهد که قرارداد هوشمند حاوی یک نقص طراحی است. ایمیونفای هک بیانبی چین بریج (BNB Chain bridge) را به عنوان نمونهای از این نوع آسیب پذیری ذکر کرد.
دوم، برخی از حملات به این دلیل رخ میدهند که، حتی اگر قرارداد هوشمند به خوبی طراحی شدهباشد، کد پیادهسازی طراحی ناقص است. ایمیونفای هک Qbit را به عنوان نمونه ای از این دسته ذکر کرد.
در نهایت، دسته سوم آسیبپذیری «ضعفهای زیرساختی» است، که این شرکت آن را به عنوان زیرساخت فناوری اطلاعاتی که قرارداد هوشمند بر روی آن اجرا میشود، برای مثال ماشینهای مجازی، کلیدهای خصوصی و غیره تعریف کرد. به عنوان نمونهای از این نوع آسیب پذیری، ایمیونفای هک پل رونین را ذکر کردهاست. این هک توسط مهاجمی که کنترل پنج امضا از نه امضای اعتبارسنجی نودهای رونین را به دست میگیرد، ایجاد شدهاست.
منبع cointelegraph.com