हैकर्स वांटेड: $ 1M इनाम डेफी बग्स का शिकार करने के लिए व्हाइट हैट्स को लुभाता है

क्या मुझे सिर्फ पैसे चुराने चाहिए?

TVL में $3B वाले DeFi प्रोटोकॉल के कोड में एक भेद्यता है। मैं केवल मनोरंजन के लिए ओपन-सोर्स कोड देख रहा था। लेकिन अब, यह गंभीर है. इसमें एक बग बाउंटी है, एक इनाम जो किसी भी बड़ी कमजोरी का पता लगाने वाले को $10K का भुगतान करता है। लेकिन इस भेद्यता का फायदा उठाकर मैं उपयोगकर्ता निधि से $2 मिलियन निकाल सकता हूँ। काफी आलोचनात्मक लगता है. $10K? $2 मिलियन से अधिक? यह या तो लूटना है या लूटना है, है ना? 

जब हैकर्स को क्रिप्टो कोड में कमजोरियां मिलती हैं तो उन्हें इसी प्रलोभन से जूझना पड़ता है। हालांकि ऐसे बग बाउंटी प्रोग्राम हैं जो प्रोजेक्ट के कोड में बग की रिपोर्ट करने वाले हैकर्स को पहचानते हैं और मुआवजा देते हैं, लेकिन वे आम तौर पर उन पुरस्कारों की पेशकश नहीं करते हैं जो बग का फायदा उठाने पर संभावित नुकसान के लिए उपयुक्त लगते हैं। साथ ही, हैकर्स, यहां तक ​​कि सफेद टोपी वालों को भी एक उपद्रव या धमकी की तरह माना जा सकता है, और कुछ को पूरी तरह से खारिज कर दिया जाता है। 

आकर्षक लक्ष्य

इम्यूनफ़ी एक नौ महीने पुराना प्लेटफ़ॉर्म है जो इस दुविधा के ठीक बीच में कूद गया है। यह क्रिप्टो प्रोटोकॉल को हैकर्स के साथ जोड़ता है और इसका लक्ष्य साइबर सुरक्षा में एक अराजक बैडलैंड - डेफी को पेशेवर बनाना है। कारण स्पष्ट है: अभी बहुत सारा पैसा जोखिम में है। इस हफ्ते जैसे सनसनीखेज कारनामे $600M हैक पॉली नेटवर्क - और लूट का अधिकांश हिस्सा लौटाने का अपराधी का निर्णय - हर समय सुर्खियाँ बना रहा है।

के सह-संस्थापक और सीटीओ रॉबर्ट फोर्स्टर कहते हैं, "डीएफआई स्पेस वास्तव में हैकर्स के लिए अब तक का सबसे आकर्षक लक्ष्य है।" कवच.फाई, एक विकेन्द्रीकृत ब्रोकरेज जो डेफी परिसंपत्तियों के लिए सुरक्षा कवरेज प्रदान करता है। यह Immunefi पर $1M का इनाम पोस्ट करता है। 

यह सही है, आर्मर एक महत्वपूर्ण बग ढूंढने के लिए $1M का भुगतान करने के लिए तैयार है, और वास्तव में वे पहले ही एक हैकर को $1.5M का भुगतान कर चुके हैं। फरवरी में एक गंभीर बग के लिए जिसने इसके भंडार को खतरे में डाल दिया है। 

इम्यूनफी के सह-संस्थापक और सीईओ मिशेल अमाडोर कहते हैं, "हमारा औसत भुगतान हजारों डॉलर है।" "यह किसी भी अन्य बग बाउंटी प्लेटफ़ॉर्म से बड़े पैमाने का ऑर्डर है।"

"डेफी स्पेस वास्तव में हैकर्स के लिए अब तक का सबसे आकर्षक लक्ष्य है।"

रॉबर्ट फोरस्टर

इम्यूनफ़ी ने पूरे डेफ़ी में बग बाउंटी के लिए न्यूनतम मूल्य बढ़ा दिया है। एक नजर डाल रहा हूँ उपलब्ध इनामों की सूची इम्यूनफ़ी के प्लेटफ़ॉर्म पर, हम देख सकते हैं कि xDai $2M तक के पुरस्कारों की पेशकश कर रहा है (अर्थात एक उच्च गुणवत्ता वाली बग रिपोर्ट के लिए छह शून्य का भुगतान किया जाता है); क्रीम फाइनेंस $1.5M तक के पुरस्कार की पेशकश कर रहा है; सुशीस्वैप में हैकर्स को $1.25 मिलियन तक का इनाम सूचीबद्ध है; और पैनकेकस्वैप और सोवरिन, इम्यूनफ़ी पर $1 मिलियन का इनाम पोस्ट करने में आर्मर के साथ शामिल हो गए। 

ये भुगतान मूल रूप से बग बाउंटी दुनिया में अनसुने हैं। अब तक।

कंप्यूटर कोडर्स के बीच संघर्ष 

हैकर्स और प्रोटोकॉल डेवलपर्स के बीच टकराव स्पष्ट रूप से सामने आया है। 

ब्लॉकचेन सुरक्षा कंपनी पेकशील्ड ने हाल ही में केवल प्राप्त करने के लिए एक प्रोटोकॉल के लिए संभावित भेद्यता की सूचना दी प्रतिक्रिया में यह उपेक्षा: “हमें टेकरेट द्वारा ऑडिट किया गया है, प्रोजेक्ट 2 महीने से अधिक पुराना है। हम ठीक हैं, कहीं और काम तलाशो 😉” 

हाल के दौरान पॉली नेटवर्क शोषण, हैकर या हैकर्स ने कहा कि वे जितना चुरा सकते थे उससे कहीं अधिक चुरा सकते थे, और उन्हें पैसे में उतनी दिलचस्पी नहीं थी जितनी सबक देने में। और हैकर कौन थोरचेन का शोषण किया प्रोटोकॉल को एक नोट भी भेजा जिसमें बताया गया कि वे और अधिक ले सकते थे, लेकिन नुकसान को कम करना चाहते थे। मुख्य पंक्ति: "10% VAR इनाम ने इसे रोका होगा।"

VAR का मतलब जोखिम वाले मूल्य से है और यह एक निश्चित समय अवधि में नुकसान के जोखिम वाले डॉलर मूल्य का अनुमान है। 

हैकर द्वारा 10% फेंकने के बारे में विशेष रूप से दिलचस्प बात यह है कि यह वह राशि है जो इम्यूनफ़ी अपने ग्राहकों को उन हैकरों को देने के लिए प्रोत्साहित करती है जो महत्वपूर्ण बग ढूंढते हैं - प्रोटोकॉल में लॉक किए गए कुल मूल्य (टीवीएल) का 10%। इम्यूनफ़ी इसे स्केलिंग बग बाउंटी कहती है, और यही चीज़ उन्हें बग बाउंटी क्षेत्र में अलग करती है। 

यदि आप DeFi पर ध्यान दे रहे हैं, तो आप जानते हैं कि इनमें से कई प्लेटफार्मों पर TVL का 10% पैसा का एक बड़ा हिस्सा है। 

थोरचेन हमले के कुछ ही दिन बाद, यह एक सप्ताह में दूसरा हमला था, प्रोटोकॉल की पेशकश की गई $500,000 का बग इनाम इम्यूनफ़ी पर. जबकि यह 10% नहीं है - थोरचेन के पास है $100M TVL से थोड़ा अधिक - 5% की तरह, यह अभी भी एक बहुत बड़ा इनाम है। 

कोई और मामूली पैसा नहीं

इम्यूनफ़ी की स्थापना दिसंबर के मध्य में तीन सह-संस्थापकों द्वारा की गई थी: अमाडोर, ट्रैविन कीथ और डंकन टाउनसेंड। अमाडोर और कीथ की मुलाकात एनएक्सटी फाउंडेशन में काम करने के दौरान हुई थी, जो 2013 में लॉन्च किए गए स्मार्ट कॉन्ट्रैक्ट ब्लॉकचेन एनएक्सटी को बढ़ावा देता है और समुदाय का प्रबंधन करता है। अमाडोर पहले से ही एक अन्य व्यक्ति के साथ डेफी सुरक्षा (या इसकी कमी) पर काम कर रहा था, जिसने टाउनसेंड की सिफारिश की थी। "सर्वश्रेष्ठ सुरक्षा व्यक्ति।" 

टीम ने धन जुटाया है और उद्यम को आगे बढ़ाया है, लेकिन फिलहाल फंडिंग के बारे में अधिक जानकारी साझा नहीं कर रही है।

इम्यूनफ़ी के प्रतिस्पर्धियों में से एक और सॉफ़्टवेयर जगत में सबसे लोकप्रिय बग बाउंटी प्लेटफ़ॉर्म, हैकेरोन की जाँच करने पर, ऐसा प्रतीत होता है कि जीथब ने कुछ सप्ताह पहले एक महत्वपूर्ण बग के लिए $50,000 का भुगतान करने के लिए प्लेटफ़ॉर्म का उपयोग किया था। अन्यथा, भुगतान किए गए और प्रकट किए गए इनाम आम तौर पर $10K सीमा के करीब भी नहीं होते हैं। 

लेकिन ये छोटे इनाम इसे क्रिप्टो में नहीं काटते हैं। 

आर्मर फोर्स्टर का कहना है, "यह डेफी में पैसे की मात्रा और उस पैसे को भुनाने में आसानी और उसके बाद भी गुमनाम रहने का संयोजन है और सभी कोड खुला स्रोत हैं।" "यह लगभग पागलपन की बात है कि उद्योग हैकरों के लिए कितना उपयुक्त है।"

अमाडोर ने इसे दोहराते हुए कहा, "संख्या इतनी अधिक है और पकड़े जाने की क्षमता इतनी कम है, यदि आप बेहद सैद्धांतिक से थोड़ा कम हैं, तो चलने का एक बड़ा प्रलोभन है।"

काली टोपियाँ सफेद टोपियाँ बन जाती हैं

पैसे के अलावा, यदि आवश्यक हो, तो इम्यूनफ़ी सभी संचार, समन्वय और बातचीत को संभालकर हैकर/ग्राहक जुड़ाव को सुव्यवस्थित करता है। उन्हें केवाईसी की आवश्यकता नहीं है, जिससे हैकर्स यदि चाहें तो गुमनाम रह सकते हैं, और यदि उन्होंने पहले काली टोपी पहनी है, तो वह आकर्षक हो सकती है। साथ ही, इम्यूनफ़ी क्रिप्टो में भुगतान स्वीकार करता है, जिससे ग्राहकों और हैकर्स दोनों के लिए लचीलापन जुड़ जाता है।

इम्यूनफ़ी के कीथ ने द डिफिएंट को बताया, "हम काली टोपी के लिए एक सुरक्षित बंदरगाह के रूप में कार्य करते हैं जो हमारे पास आती है और सफेद टोपी बन जाती है।" 

इम्यूनफ़ी के लिए इन बड़े भुगतानों का मतलब भारी वृद्धि है। चूंकि इम्यूनिफ़ी को तीन ग्राहकों के साथ लॉन्च किया गया था, कंपनी ने 113 और ग्राहकों को अपने साथ जोड़ा है। 

इसकी तुलना बग बाउंटी प्लेटफ़ॉर्म, यस वी हैक से करें, जो कुछ साल पहले लॉन्च हुआ था और इसके 100 ग्राहक हैं। इम्यूनफी के पास हैकरोन की तुलना में कम ग्राहक हैं, लेकिन क्रिप्टो में निश्चित रूप से अधिक हैं। 

"इम्यूनफ़ी उत्कृष्ट मिसाल कायम कर रही है," केविन मैकशीहन, उर्फ ​​पैड, एक ब्लैक हैट से व्हाइट हैट हैकर कहते हैं, जो इम्यूनफ़ी से परिचित हैं, जिन्हें अभी भी मंच पर इनामों में भाग लेना है। “वे अभूतपूर्व इनाम दे रहे हैं और [क्रिप्टो] को कवर किया हुआ है। मायावी ब्लॉकचेन कार्यक्रमों को खोजने के लिए हैकरोन के माध्यम से छान-बीन करने के दिन गए।"

आपका कोड असुरक्षित है

लेकिन इसके लिए कुछ अनुनय-विनय की जरूरत पड़ी। इम्यूनफ़ी के सह-संस्थापक क्रिप्टो मूल निवासी हैं, जिससे मदद मिली। जब कंपनी पहली बार लॉन्च हुई तो उन्होंने उद्योग में बड़े पैमाने पर पहुंच बनाई। 

देखिए, कोई भी डेवलपर यह संदेश प्राप्त नहीं करना चाहता कि "अरे, आपका कोड असुरक्षित है।" बुरी ख़बरों का वाहक होने के नाते, इसे हमेशा व्हाइट हैट हैकर्स की पीठ थपथपाने और परेड का मौका नहीं मिलता। और बग बाउंटी कार्यक्रम अभी भी इतने तदर्थ हैं कि कई प्रोटोकॉल किसी को भी विशेष रूप से रिपोर्ट प्रबंधित करने के लिए नियुक्त नहीं करते हैं। जिन लोगों को सबमिशन की जांच करने का काम सौंपा गया है, उनके पास परियोजनाओं के भीतर अन्य नौकरियां हैं, और निश्चित रूप से, वे जिन सबमिशन से गुजरते हैं उनमें से कुछ बकवास हैं, जो झुंझलाहट को बढ़ाता है। 

तो इम्यूनफ़ी की पिच थी, "अरे, हम जानते हैं कि बग बाउंटी प्रोग्राम चलाना कठिन है, आइए हम इसे आपके लिए करें।" और यह काम कर गया. 

भले ही DeFi में हैक बड़े पैमाने पर हैं, Immunefi ने एक अच्छी मात्रा को ब्लॉक कर दिया है। कंपनी का कहना है कि प्लेटफ़ॉर्म का उपयोग करके $3M से अधिक का इनाम चुकाया गया है, जिससे $1B से अधिक के नुकसान को रोका जा सका है। वर्तमान में प्लेटफ़ॉर्म पर $31 मिलियन का इनाम उपलब्ध है। अमाडोर के अनुसार, इम्यूनिफ़ी के लगभग एक चौथाई ग्राहकों पर गंभीर बग पाए जा रहे हैं। 

पूर्णकालिक इनाम शिकार 

क्रिप्टो और डेफी के लिए तैयार किए गए इनामों में शुरुआती प्रस्तावक के रूप में, इम्यूनफ़ी बग शिकार को एक व्यवहार्य करियर बनाना चाहता है, न कि केवल एक शौक जो हैकर्स अपने खाली समय में मनोरंजन के लिए अपनाते हैं। 

अमाडोर ने द डिफिएंट को बताया, "इसे पूर्णकालिक नौकरी बनाने के लिए उनके पास पैसा है।" 

निश्चित रूप से, जिस हैकर को आर्मर से 1.5 मिलियन डॉलर का भुगतान प्राप्त हुआ, अलेक्जेंडर श्लिंडविन ने कहा, "मैंने पहले महत्वपूर्ण कमजोरियों के लिए इतना अधिक इनाम नहीं देखा था।" और ये सिर्फ बड़े, युद्ध-परीक्षित प्रोटोकॉल नहीं थे - ये इनाम छोटे खिलाड़ियों द्वारा पेश किए जा रहे थे। 

श्लिंडवेइन आइडियामार्केट के सीटीओ हैं, इसलिए उन्हें पूर्णकालिक नौकरी मिल गई है, लेकिन निश्चित रूप से चांदनी रात में लाखों कमाना काफी शक्तिशाली है। 

"हम काली टोपी के लिए एक सुरक्षित बंदरगाह के रूप में कार्य करते हैं जो हमारे पास आती है और सफेद टोपी बन जाती है।"

ट्रैविन कीथ, इम्यूनिफ़ी

यदि बड़ी धनराशि अधिक हैकरों को इनामी दुनिया में पूर्णकालिक रूप से लुभाती है, तो इससे प्रोटोकॉल सुरक्षा मजबूत होगी, ग्राहकों की संपत्ति की बेहतर सुरक्षा होगी और पूरे डेफी प्रस्ताव में एक महत्वपूर्ण कमजोरी का समाधान होगा। 

इम्यूनफ़ी के कीथ कहते हैं, "डीएफआई में नया करने और प्रतिस्पर्धा करने का इतना बड़ा दबाव है कि दुर्भाग्य से, कई प्रोटोकॉल परीक्षण और परीक्षण में अतिरिक्त समय खर्च करने के बजाय कोड में भेद्यता का जोखिम उठाते हैं, जिससे यह सुनिश्चित होता है कि चीजें पूरी तरह से सुरक्षित हैं।" 

इम्यूनफ़ी जैसे बग बाउंटी कार्यक्रम उत्पाद लॉन्च को रोकने के लिए एक व्यवहार्य विकल्प प्रदान करते हैं। भुगतान बढ़ाना चोरी के विकल्प के रूप में उचित मूल्य प्रदान करता है। इस तरह, बग बाउंटी स्मार्ट अनुबंध सुरक्षा स्टैक में रक्षा की अंतिम पंक्ति के रूप में कार्य कर सकते हैं।

"मुझे यकीन है कि इम्यूनफाई जैसे क्रिप्टो/डीएफआई देशी बग बाउंटी प्लेटफॉर्म लगातार हैक और शोषण की वर्तमान स्थिति को सुधारने में अभिन्न भूमिका निभाते हैं," श्लिंडवेइन ने कहा। 

स्रोत: https://thedefiant.io/immunefi-bug-bounty-defi/?utm_source=rss&utm_medium=rss&utm_campaign=immunefi-bug-bounty-defi