Un nouveau rapport de la plateforme de sécurité blockchain Immunefi suggère que près de la moitié de tous les crypto perdus à cause des exploits Web3 sont dus à des problèmes de sécurité Web2 tels que la fuite de clés privées. Le rapport, publié le 15 novembre, revient sur l’historique des exploits cryptographiques en 2022, les classant en différents types de vulnérabilités. Il conclu que 46,48 % des crypto-monnaies perdues à cause d’exploits en 2022 ne provenaient pas de failles de contrats intelligents, mais plutôt de « faiblesses de l’infrastructure » ou de problèmes avec les systèmes informatiques de l’entreprise en développement.
Si l’on considère le nombre d’incidents plutôt que la valeur de la cryptographie perdue, les vulnérabilités Web2 représentaient une plus petite partie du total, soit 26,56 %, bien qu’elles restent la deuxième catégorie en importance.
Le rapport d’Immunefi exclut les escroqueries à la sortie ou autres fraudes, ainsi que les exploits survenus uniquement en raison de manipulations de marché. Il n’a pris en compte que les attaques survenues en raison d’une faille de sécurité. Parmi celles-ci, il a été constaté que les attaques se répartissent en trois grandes catégories. Premièrement, certaines attaques se produisent parce que le contrat intelligent contient un défaut de conception. Immunefi a cité le piratage du pont BNB Chain comme exemple de ce type de vulnérabilité. Deuxièmement, certaines attaques se produisent parce que, même si le contrat intelligent est bien conçu, le code qui met en œuvre la conception est défectueux. Immunefi a cité le hack Qbit comme exemple de cette catégorie.
Enfin, une troisième catégorie de vulnérabilité concerne les « faiblesses de l’infrastructure », qu’Immunefi définit comme « l’infrastructure informatique sur laquelle fonctionne un contrat intelligent – par exemple des machines virtuelles, des clés privées, etc. » À titre d’exemple de ce type de vulnérabilité, Immunefi a cité le piratage du pont Ronin, provoqué par un attaquant prenant le contrôle de cinq des neuf signatures du validateur de nœuds Ronin.
En rapport: Le débat sur Uniswap DAO montre que les développeurs ont toujours du mal à sécuriser les ponts entre les chaînes
Immunefi a divisé ces catégories en sous-catégories. En ce qui concerne les faiblesses de l’infrastructure, celles-ci peuvent être causées par la fuite d’une clé privée par un employé (par exemple, en la transmettant via un canal non sécurisé), par l’utilisation d’une phrase secrète faible pour un coffre-fort de clés, par des problèmes d’authentification à deux facteurs, par le piratage DNS, etc. Détournement BGP, compromission de portefeuille chaud ou utilisation de méthodes de cryptage faibles et stockage en texte brut.
Bien que ces vulnérabilités d’infrastructure aient causé le plus grand nombre de pertes par rapport aux autres catégories, la deuxième cause de pertes était les « problèmes cryptographiques » tels que les erreurs de l’arbre Merkle, la rejouabilité des signatures et la génération prévisible de nombres aléatoires. Les problèmes cryptographiques ont entraîné 20,58 % de la valeur totale des pertes en 2022.
Une autre vulnérabilité courante était « un contrôle d’accès et/ou une validation des entrées faible/manquant », indique le rapport. Ce type de faille n’a entraîné que 4,62 % des pertes en valeur, mais il a été le plus gros contributeur en termes de nombre d’incidents, puisque 30,47 % de tous les incidents en étaient la cause.