State of Web3 security : analysis of vulnerabilities in bug bounty reports

Abstract

Web3 has its basis in blockchain and smart contract technologies, supporting secure, distributed, and decentralized applications. Nonetheless, Web3 is still in the process of evolution, and, as with any other software-based product, software bugs, security flaws, and other vulnerabilities are expected to appear. This thesis analyzes the severity of security vulnerabilities in Web3 based on publicly available bug reports. Furthermore, an evaluation of several vulnerability detection tools in smart contracts is carried out. Finally, a plugin is developed that allows integration with a smart contract testing tool. Through this analysis, it is possible to obtain a comprehensive view of the evolution and trends related to the number of reports presented, growth by platform, severity classification, and amounts paid for discovering and reporting vulnerabilities. The plugin developed as part of this study provides an additional tool to improve the security and reliability of Web3-based applications.

A Web3 tem como base a tecnologias blockchain e os contratos inteligentes, suportando aplicações seguras, distribuídas e descentralizadas. No entanto, o Web3 ainda está em processo de evolução e, tal como acontece com qualquer outro produto baseado em software, é expectável bugs de software, falhas de segurança e outras vulnerabilidades. Esta tese analisa a severidade das vulnerabilidades de segurança na Web3 com base em relatórios de bugs disponíveis publicamente. Para além disso, é realizada uma avaliação de diversas ferramentas de detecção de vulnerabilidades em contratos inteligentes. Por fim, é desenvolvido um plugin que permite a integração com uma ferramenta de teste de contratos inteligentes. Através desta análise é possível obter uma visão abrangente da evolução e tendências relacionadas ao número de relatórios apresentados, crescimento por plataforma, classificação o de severidade e valores pagos por descoberta e submissão de vulnerabilidades. O plugin desenvolvido como parte deste estudo fornece uma ferramenta adicional para melhorar a segurança e confiabilidade de aplicações baseadas em Web3.