Informasi

Immunefi melaporkan 46,5% dana hilang di Web3 berasal dari masalah keamanan tradisional Web2

(SeaPRwire) –   SINGAPURA, 15 Nov 2023 — Immunefi, platform terkemuka untuk penawaran hadiah kerentanan dan layanan keamanan untuk web3, telah mengumumkan rilis laporan mereka “Asal Muasal Sebenarnya Dari Serangan & Top Kerentanan Web3“. Laporan ini memperkenalkan Standar Klasifikasi Kerentanan untuk Web3 dan memberikan penelitian mendalam tentang penyebab akar masalah kerentanan paling merusak.

Standar Klasifikasi Kerentanan untuk Web3
Immunefi telah menganalisis 128 kerentanan teknis yang mengakibatkan serangan dan kerugian pada tahun 2022. Immunefi membedakan kerentanan teknis dari penipuan (engineering sosial, skema, dan tarik ulur), karena mereka tidak dipicu oleh kesalahan desain kode atau kontrak pintar apa pun.

Penelitian itu mengungkapkan bahwa akar penyebab serangan jatuh ke dalam tiga kategori yang jelas teridentifikasi:

  • Kegagalan dalam desain/logika kontrak pintar: ketika proyek yang dijelaskan secara tertulis berperilaku dengan salah. Contoh utama dari ini adalah serangan pada Rantai BNB pada Oktober 2022, yang mengakibatkan kerugian sebesar $570 juta.
  • Penulisan kode/implementasi kontrak yang buruk: ketika desain dan infrastruktur aman, tetapi kode mengandung kelemahan. Sebuah contoh dari ini adalah serangan pada Qubit pada Januari 2022, yang menyebabkan kerugian sebesar $80 juta.
  • Kelemahan infrastruktur: infrastruktur TI di mana kontrak pintar beroperasi — misalnya mesin virtual, kunci pribadi, dan sebagainya. Paparan infrastruktur dapat menyebabkan serangan dan kerugian, bahkan jika kontrak pintar itu sendiri telah dirancang, ditulis, dan diuji dengan baik. Serangan besar-besaran pada Jaringan Ronin pada Maret 2022, yang mengakibatkan kerugian sebesar $625 juta, adalah contohnya.

Immunefi telah membagi tiga domain utama kerentanan menjadi sub-domain yang fokus. Klasifikasi lengkap dapat ditemukan .

Kerentanan Paling Mematikan

  • Infrastruktur adalah raja. 46,5% dari semua serangan pada tahun 2022 dalam hal nilai moneter terjadi melalui infrastruktur, misalnya penanganan kunci pribadi yang buruk. Hal ini menghasilkan lebih dari $1,7 miliar kerugian. Pengembang dan peneliti umumnya fokus pada merancang dan mengkodekan protokol kontrak pintar, yang membentuk inti dari proyek web3, tetapi terlalu sering bahaya bersembunyi satu tingkat di bawah. Tidak mengherankan bahwa infrastruktur khususnya adalah pembeda utama antara proyek DeFi dan CeFi. 11 dari 13 eksploitasi di CeFi bersifat infrastruktural.
  • Masalah infrastruktural terbesar adalah pengelolaan kunci pribadi, yang sangat penting untuk mempertahankan penyimpanan sendiri aset kripto. Biasanya, kebijakan, praktik, dan rencana darurat pengelolaan kunci pribadi tidak menjalani audit keamanan, dan tidak semua proyek web3 memperhatikan kebijakan, praktik, atau rencana pengelolaan kunci pribadi yang ketat.
  • Pengembang sering membuat kesalahan dan memperkenalkan kerentanan terlalu sering dalam kontrak pintar untuk kontrol akses, validasi masukan, dan operasi aritmatika. Ini mencakup hampir 37,5% dari semua insiden. Untungnya, kerusakan mereka dalam uang tunai kecil, mewakili hanya 5%.
  • Serangan jembatan memainkan peran penting dalam kerugian. Rantai blok sangat terisolasi; komunikasi antar-rantai blok tidak mudah, dan pihak ketiga sering melangkah untuk membangun apa yang dikenal sebagai jembatan untuk menemukan cara menghubungkan dua rantai blok bersama. Fungsi dasar jembatan adalah mengunci dana dari satu rantai blok dan melepaskan nilai setara dana di rantai blok lain. Jika ada masalah kecil dengan generasi bukti atau verifikasi seperti itu, pelaku jahat bisa mencuri dana di satu sisi jembatan.

“Proyek web3 sangat kompleks dan dapat diserang melalui beberapa vektor”, kata Mitchell Amador, CEO Immunefi. “Metodologi standar yang kami kembangkan menggarisbawahi fakta bahwa masalah infrastruktural tetap menjadi kategori dominan. Meskipun kontrak pintar itu sendiri dapat dirancang, ditulis, dan diuji dengan baik, infrastruktur di atas yang beroperasi dapat dikompromikan, dan menyebabkan kerugian yang luar biasa.”

Immunefi adalah platform penawaran hadiah kerentanan dan layanan keamanan terbesar dan paling banyak digunakan untuk web3 yang dipercaya oleh proyek terkemuka seperti Chainlink, Wormhole, MakerDAO, TheGraph, Synthetix, dan lainnya yang bernilai miliaran dolar. Perusahaan ini telah membayar penawaran hadiah kerentanan terbesar di industri perangkat lunak, senilai lebih dari $85 juta, dan telah memopulerkan standar penawaran hadiah kerentanan skala web3. Untuk informasi lebih lanjut, silakan kunjungi

Artikel ini disediakan oleh penyedia konten pihak ketiga. SeaPRwire (https://www.seaprwire.com/) tidak memberikan jaminan atau pernyataan sehubungan dengan hal tersebut.

Sektor: Top Story, Daily News

SeaPRwire menyediakan layanan distribusi siaran pers kepada klien global dalam berbagai bahasa (Hong Kong: HKChacha , BuzzHongKong ; Singapore: SingdaoPR , TodayinSG , AsiaFeatured ; Thailand: THNewson , ThailandLatest ; Indonesia: SEATribune , IndonesiaFolk ; Philippines: PHNewLook , EventPH , PHBizNews ; Malaysia: BeritaPagi , SEANewswire ; Vietnam: VNFeatured , SEANewsDesk ; Arab: DubaiLite , ArabicDir , HunaTimes ; Taiwan: TWZip , TaipeiCool ; Germany: NachMedia , dePresseNow ) 

KONTAK: jonah di immunefi.com