블록체인 보안 플랫폼 Immunefi의 새로운 보고서에 따르면 Web3 공격으로 인해 손실된 모든 암호화폐의 거의 절반이 개인 키 유출과 같은 Web2 보안 문제로 인해 발생한다고 합니다. 11월 15일에 발표된 보고서는 2022년 암호화폐 공격의 역사를 되돌아보고 이를 다양한 유형의 취약점으로 분류했습니다. 그것 결론 2022년 익스플로잇으로 인해 손실된 암호화폐의 46.48%는 스마트 계약 결함이 아니라 “인프라 약점”이나 개발 회사의 컴퓨터 시스템 문제로 인해 발생했습니다.
손실된 암호화폐의 가치 대신 사고 건수를 고려할 때 Web2 취약점은 여전히 두 번째로 큰 범주임에도 불구하고 전체에서 26.56%로 작은 부분을 차지했습니다.
Immunefi의 보고서에서는 출구 사기나 기타 사기는 물론 시장 조작으로 인해 발생한 악용도 제외되었습니다. 보안 취약점으로 인해 발생한 공격만 고려했습니다. 이 중 공격은 크게 세 가지 범주로 분류됩니다. 첫째, 스마트 계약에 설계 결함이 있기 때문에 일부 공격이 발생합니다. Immunefi는 이러한 유형의 취약점의 예로 BNB 체인 브리지 해킹을 언급했습니다. 둘째, 스마트 계약이 잘 설계되었음에도 불구하고 설계를 구현하는 코드에 결함이 있기 때문에 일부 공격이 발생합니다. Immunefi는 이 카테고리의 예로 Qbit 해킹을 인용했습니다.
마지막으로 취약점의 세 번째 범주는 Immunefi가 “스마트 계약이 작동하는 IT 인프라(예: 가상 머신, 개인 키 등)”로 정의한 “인프라 약점”입니다. 이러한 유형의 취약점의 예로 Immunefi는 공격자가 Ronin 노드 유효성 검사기 서명 9개 중 5개를 제어함으로써 발생하는 Ronin 브리지 해킹을 나열했습니다.
Immunefi는 이러한 범주를 하위 범주로 더 세분화했습니다. 인프라 약점의 경우 직원의 개인 키 유출(예: 안전하지 않은 채널을 통해 개인 키 전송), 키 보관소에 약한 암호 사용, 이중 인증 문제, DNS 하이재킹 등으로 인해 발생할 수 있습니다. BGP 하이재킹, 핫 월렛 손상 또는 약한 암호화 방법을 사용하여 일반 텍스트로 저장합니다.
이러한 인프라 취약점으로 인해 다른 카테고리에 비해 손실 규모가 가장 컸지만, 두 번째로 큰 손실 원인은 머클 트리 오류, 서명 재생성, 예측 가능한 난수 생성 등 ‘암호화 문제’였습니다. 암호화 문제로 인해 2022년 전체 손실 가치의 20.58%가 발생했습니다.
또 다른 일반적인 취약점은 “접근 제어 및/또는 입력 유효성 검사가 약하거나 누락된 것”이라고 보고서는 밝혔습니다. 이러한 유형의 결함은 가치 측면에서 손실의 4.62%에 불과하지만 전체 사고의 30.47%가 이로 인해 발생하여 사고 수 측면에서 가장 큰 기여를 했습니다.