(SeaPRwire) – SINGAPUR, 15. November 2023 — Immunefi, die führende Plattform für Bug-Bounty und Sicherheitsdienste für Web3, hat den Bericht “Der wahre Ursprung von Hacks & Top-Web3-Schwachstellen” veröffentlicht. Dieser Bericht stellt den Vulnerabilitätsklassifizierungsstandard für Web3 vor und liefert fundierte Forschungsergebnisse zu den Ursachen der schädlichsten Schwachstellen.
Der Vulnerabilitätsklassifizierungsstandard für Web3
Immunefi hat 128 technische Schwachstellen analysiert, die im Jahr 2022 zu Hacks und Verlusten geführt haben. Immunefi hat technische Schwachstellen von Betrug (Sozialengineering, Betrugsmaschen und Rug Pulls) unterschieden, da diese nicht durch Code- oder Smart-Contract-Designfehler ausgelöst werden.
Die Forschung ergab, dass die Ursachen von Hacks in drei eindeutig identifizierbare Kategorien fallen:
- Fehler im Design/der Logik des Smart Contracts: Wenn sich das auf dem Papier beschriebene Projekt falsch verhält. Ein Beispiel hierfür ist der Angriff auf die BNB Chain im Oktober 2022, der zu Verlusten in Höhe von 570 Millionen US-Dollar führte.
- Schlechte Codierung/Implementierung des Vertrags: Wenn das Design und die Infrastruktur sicher sind, der Code aber Schwachstellen enthält. Ein Beispiel hierfür ist der Angriff auf Qubit im Januar 2022, der zu Verlusten in Höhe von 80 Millionen US-Dollar führte.
- Infrastrukturschwächen: Die IT-Infrastruktur, auf der ein Smart Contract betrieben wird – beispielsweise virtuelle Maschinen, private Schlüssel etc. Eine Infrastrukturexposition kann auch dann zu Hacks und Verlusten führen, wenn der Smart Contract selbst gut designt, geschrieben und getestet wurde. Der prominente Angriff auf das Ronin Network im März 2022, der zu einem Verlust von 625 Millionen US-Dollar führte, ist ein Beispiel.
Die verheerendsten Schwachstellen
Der Artikel wird von einem Drittanbieter bereitgestellt. SeaPRwire (https://www.seaprwire.com/) gibt diesbezüglich keine Zusicherungen oder Darstellungen ab.
Branchen: Top-Story, Tagesnachrichten
SeaPRwire bietet Pressemitteilungsvertriebsdienste für globale Kunden in verschiedenen Sprachen an. (Hong Kong: HKChacha , BuzzHongKong ; Singapore: SingdaoPR , TodayinSG , AsiaFeatured ; Thailand: THNewson , ThailandLatest ; Indonesia: SEATribune , IndonesiaFolk ; Philippines: PHNewLook , EventPH , PHBizNews ; Malaysia: BeritaPagi , SEANewswire ; Vietnam: VNFeatured , SEANewsDesk ; Arab: DubaiLite , ArabicDir , HunaTimes ; Taiwan: TWZip , TaipeiCool ; Germany: NachMedia , dePresseNow )
- Die Infrastruktur ist entscheidend. 46,5% aller Hacks im Jahr 2022 in finanzieller Hinsicht ereigneten sich über die Infrastruktur, z.B. durch schlechtes Private-Key-Management. Es entstanden Verluste von über 1,7 Milliarden US-Dollar.
- Das größte infrastrukturelle Problem ist das Private-Key-Management, das für die Eigenverwahrung von Kryptowährungen entscheidend ist. In der Regel durchläuft das Private-Key-Management keine Sicherheitsaudits, und nicht alle Web3-Projekte legen ausreichend Wert auf strenge Richtlinien, Praktiken oder Notfallpläne für das Key-Management.
- Entwickler machen zu oft Fehler und führen Schwachstellen in Smart Contracts ein, was den Zugriffskontrolle, Eingabeprüfung und arithmetische Operationen betrifft. Dies macht fast 37,5% aller Vorfälle aus. Glücklicherweise ist der daraus resultierende Schaden in bar mit nur 5% klein.
- Brückenhacks spielen eine wichtige Rolle bei Verlusten. Blockchains sind stark isolierte Umgebungen; die zwischenblockchain-Kommunikation ist nicht einfach, und Dritte stellen oft eine sogenannte Brücke bereit, um die beiden Blockchains irgendwie zu verbinden. Die Grundfunktion einer Brücke besteht darin, Gelder von einer Blockchain einzusperren und den entsprechenden Gegenwert an Geldern auf der anderen Blockchain freizugeben. Bereits ein kleines Problem bei der Erzeugung oder Überprüfung solcher Beweise könnte einem böswilligen Akteur ermöglichen, Gelder auf einer Seite der Brücke zu stehlen.
“Web3-Projekte sind unglaublich komplex und können über mehrere Angriffsvektoren attackiert werden”, sagte Mitchell Amador, CEO von Immunefi. “Der von uns entwickelte Standardansatz hebt hervor, dass infrastrukturelle Probleme nach wie vor eine vorherrschende Kategorie darstellen. Auch wenn ein Smart Contract selbst gut konzipiert, geschrieben und getestet sein kann, kann die darunterliegende Infrastruktur kompromittiert werden und zu enormen Verlusten führen.”
Immunefi ist die größte und am weitesten verbreitete Bug-Bounty-Plattform in Web3, der etablierte Projekte im Wert von mehreren Milliarden Dollar wie Chainlink, Wormhole, MakerDAO, TheGraph, Synthetix und andere vertrauen. Immunefi hat die bedeutendsten Bug-Bounties in der Softwarebranche ausgezahlt, insgesamt über 85 Millionen US-Dollar, und hat Nutzergelder in Höhe von über 25 Milliarden US-Dollar geschützt.
Der vollständige Bericht und der Standardklassifizierungs sind auf www.immunefi.com verfügbar. Immunefi veröffentlicht regelmäßig einen Flaggschiffbericht mit dem Titel “Crypto Losses”. Dieser Bericht zeigt das Volumen an Kryptowährungen auf, das die Kryptogemeinschaft aufgrund von Hacks und Betrug im Laufe des Jahres verloren hat. Kürzlich veröffentlichte Immunefi den Bericht “State of Crypto Security 2022”. Darüber hinaus veröffentlichte Immunefi den Bericht “2022 Whitehat Survey”, eine Umfrage in der Whitehat-Community, die die größten Herausforderungen, Interessen und Motivationen in der Web3-Sicherheitsbranche aufzeigt.
Über Immunefi
Immunefi ist die führende Plattform für Bug-Bounty und Sicherheitsdienste für Web3, die die weltweit größten Prämien anbietet. Immunefi schützt Gelder in Höhe von über 50 Milliarden US-Dollar bei Projekten wie Synthetix, Chainlink, SushiSwap, Polygon, LayerZero, MakerDAO, TheGraph, Wormhole, Optimism und anderen. Das Unternehmen hat die bedeutendsten Bug-Bounties in der Softwarebranche ausgezahlt, insgesamt über 85 Millionen US-Dollar, und hat den Standard für skalierbare Bug-Bounties in Web3 geprägt. Für weitere Informationen besuchen Sie bitte www.immunefi.com.
KONTAKT: jonah@immunefi.com