Inmunefi: 46% de las criptomonedas perdidas por exploits se debe a fallos tradicionales Web2
Un nuevo informe de la plataforma de seguridad blockchain; Immunefi, sugiere que casi la mitad de todas las criptomonedas perdidas por exploits Web3 se debe a problemas de seguridad Web2, como la filtración de claves privadas. El informe, publicado el 15 de noviembre, repasa la historia de los exploits criptográficos en 2022, clasificándolos en diferentes tipos de vulnerabilidades. Llegando a la conclusión de que el 46.48% de las pérdidas de criptomonedas por exploits en 2022 no se debieron a fallos de los contratos inteligentes, sino a “debilidades de infraestructura” o problemas con los sistemas informáticos de la empresa desarrolladora.
When considering the number of incidents instead of the value of crypto lost, Web2 vulnerabilities were a smaller portion of the total at 26.56%, although they were still the second-largest category.
El informe de Immunefi excluyó estafas de salida u otros fraudes, así como exploits que ocurrieron únicamente debido a manipulaciones del mercado. Solo consideró ataques que ocurrieron debido a una vulnerabilidad de seguridad. De estos, encontró que los ataques caen en tres categorías principales. En primer lugar, algunos ataques ocurren porque el contrato inteligente contiene un defecto de diseño. Immunefi mencionó el hackeo del puente BNB Chain como un ejemplo de este tipo de vulnerabilidad. En segundo lugar, algunos ataques ocurren porque, aunque el contrato inteligente está bien diseñado, el código que implementa el diseño es defectuoso. Immunefi mencionó el hackeo de Qbit como un ejemplo de esta categoría.
Finalmente, una tercera categoría de vulnerabilidad son las “debilidades de infraestructura”, que Immunefi definió como “la infraestructura informática en la que opera un contrato inteligente, por ejemplo, máquinas virtuales, claves privadas, etc.”. Como ejemplo de este tipo de vulnerabilidad, Immunefi enumeró el hackeo del puente Ronin, que fue causado por un atacante que tomó el control de 5 de las 9 firmas de validadores de nodos Ronin.
Immunefi desglosó estas categorías aún más en subcategorías. En cuanto a las debilidades de infraestructura, estas pueden ser causadas por un empleado que filtra una clave privada (por ejemplo, al transmitirla a través de un canal no seguro), el uso de una frase de contraseña débil para un depósito de claves, problemas con la autenticación de dos factores, secuestro de DNS, secuestro de BGP, compromiso de una billetera en caliente o el uso de métodos de cifrado débiles y su almacenamiento en texto sin formato.
Aunque estas vulnerabilidades de infraestructura causaron la mayor cantidad de pérdidas en comparación con otras categorías, la segunda causa más grande de pérdidas fueron los “problemas criptográficos”, como errores en los árboles de Merkle, repetición de firmas y generación predecible de números aleatorios. Los problemas criptográficos representaron el 20.58% del valor total de pérdidas en 2022.
Otra vulnerabilidad común fue la “falta/débil control de acceso y/o validación de entrada”, según indicó el informe. Este tipo de defecto resultó en solo un 4.62% de las pérdidas en términos de valor, pero fue el mayor contribuyente en términos de número de incidentes, ya que el 30.47% de todos los incidentes fueron causados por esto.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.