Devo solo rubare i soldi?
C'è una vulnerabilità nel codice... Di un protocollo DeFi con 3 miliardi di dollari in TVL. Stavo solo guardando il codice open source per divertimento. Ma ora, è grave. C'è una taglia di bug, una ricompensa che paga $ 10 a chiunque trovi una grande debolezza. Ma sfruttare questa vulnerabilità mi consentirebbe di sottrarre $ 2 milioni di fondi degli utenti. Sembra piuttosto critico. $ 10? Oltre $ 2 milioni? O si ruba o si viene derubati, giusto?
Questa è la tentazione con cui gli hacker devono lottare quando trovano vulnerabilità nel codice crittografico. Sebbene esistano programmi di ricompensa dei bug che riconoscono e compensano gli hacker che segnalano bug nel codice del progetto, in genere non offrono ricompense che sembrano appropriate per il potenziale danno se i bug fossero sfruttati. Inoltre, gli hacker, anche i cappelli bianchi, possono essere trattati come una seccatura o una minaccia, e alcuni vengono completamente respinti.
Obiettivo attraente
Immunefi è una piattaforma vecchia di nove mesi che è saltata proprio nel mezzo di questo dilemma. Collega i protocolli crittografici con gli hacker e mira a professionalizzare un paese senza legge nella sicurezza informatica: la DeFi. Il motivo è ovvio: ci sono molti soldi a rischio in questo momento. Sensazioni sensazionali come quelle di questa settimana Hacking da $ 600 milioni di Poly Network - e la decisione dell'autore di restituire gran parte del bottino - fanno sempre notizia.
"Lo spazio DeFi è letteralmente l'obiettivo più attraente per gli hacker che ci sia mai stato", afferma Robert Forster, co-fondatore e CTO di Armatura.Fi, un broker decentralizzato che fornisce copertura di protezione per gli asset DeFi. Pubblica taglie di $ 1 milione su Immunefi.
Esatto, Armor è pronta a pagare $ 1 milione per aver trovato un bug critico, e in realtà lo ha già fatto, pagando $ 1.5 milioni a un hacker nel mese di febbraio per un bug critico che mette a rischio le sue riserve.
"La nostra vincita media è di decine di migliaia di dollari", afferma Mitchell Amador, co-fondatore e CEO di Immunefi. "È solo ordini di grandezza più grandi di qualsiasi altra piattaforma di ricompense di bug."
"Lo spazio DeFi è letteralmente l'obiettivo più attraente per gli hacker che ci sia mai stato."
Robert Forster
Immunefi ha aumentato il prezzo minimo per le ricompense dei bug in tutta la DeFi. Dando un'occhiata l'elenco delle ricompense disponibili sulla piattaforma di Immunefi, possiamo vedere che xDai offre premi fino a $ 2 milioni (ovvero con sei zeri pagati per un singolo bug report di alta qualità); Cream Finance offre premi fino a $ 1.5 milioni; SushiSwap ha una taglia che premia gli hacker fino a $ 1.25 milioni; e PancakeSwap e Sovryn si uniscono ad Armor nel pubblicare taglie su Immunefi per $ 1 milione.
Questi pagamenti sono fondamentalmente sconosciuti nel mondo dei bug bounty. Finora.
Lo scontro tra programmatori di computer
Lo scontro tra hacker e sviluppatori di protocolli è stato vivido.
PeckShield, una società di sicurezza blockchain, ha recentemente segnalato una potenziale vulnerabilità a un protocollo solo per ricevere questo disprezzo in risposta: “Siamo stati verificati da Techrate, il progetto ha più di 2 mesi. Stiamo bene, cerchiamo lavoro da qualche altra parte 😉”
Durante la recente Sfruttamento della rete poli, l'hacker o gli hacker hanno affermato che avrebbero potuto rubare molto più di quanto hanno fatto e non erano interessati al denaro quanto a tenere una lezione. E l'hacker che ha sfruttato Thorchain ha anche inviato una nota al protocollo spiegando che avrebbero potuto prenderne di più, ma volevano ridurre al minimo i danni. La linea chiave: "Il 10% di taglia VAR lo avrebbe impedito".
VAR sta per Value at Risk ed è una stima del valore in dollari a rischio di perdita in un determinato periodo di tempo.
La cosa particolarmente interessante dell'hacker che butta via il 10% è che è l'importo che Immunefi incoraggia i suoi clienti a offrire agli hacker che trovano bug critici: il 10% del valore totale bloccato (TVL) nel protocollo. Immunefi lo chiama una taglia di bug di ridimensionamento, ed è ciò che li distingue nello spazio della taglia di bug.
Se hai prestato attenzione alla DeFi, sai che il 10% di TVL su molte di queste piattaforme è un'enorme quantità di denaro.
Solo un paio di giorni dopo l'attacco di Thorchain, il secondo in una settimana, il protocollo offriva una taglia di bug di $ 500,000 su Immunefi. Anche se questo non è il 10%, Thorchain sì poco più di $ 100 milioni di TVL — più come il 5%, è comunque una taglia enorme.
Niente più soldi miseri
Immunefi è stata fondata a metà dicembre da tre co-fondatori: Amador, Travin Keith e Duncan Townsend. Amador e Keith si erano incontrati durante il loro periodo di lavoro su NXT Foundation, che promuove e gestisce la community NXT, una blockchain di contratti intelligenti lanciata nel 2013. Amador aveva già lavorato sulla sicurezza DeFi (o sulla sua mancanza) con un altro uomo, che ha consigliato Townsend come "la migliore persona di sicurezza."
Il team ha raccolto fondi e avviato l'impresa, ma al momento non condivide ulteriori dettagli sui finanziamenti.
Controllando uno dei concorrenti di Immunefi e la piattaforma di ricompense dei bug più popolare nel mondo del software, Hackerone, sembra che Github abbia utilizzato la piattaforma per pagare $ 50,000 per un bug critico alcune settimane fa. In caso contrario, le taglie pagate e divulgate in genere non sono nemmeno vicine all'intervallo di $ 10.
Ma queste piccole taglie semplicemente non lo tagliano in criptovaluta.
"È la combinazione della quantità di denaro in DeFi e la facilità di incassare quei soldi e rimanere anonimi dopo che tutto il codice è open source", afferma Forster di Armor. "È quasi folle quanto sia perfetto il settore per gli hacker".
Amador gli fa eco, dicendo: "I numeri sono così giganteschi e la capacità di essere scoperti è così piccola, se sei leggermente meno che estremamente basato sui principi, c'è un'enorme tentazione di camminare".
I cappelli neri diventano cappelli bianchi
Oltre ai soldi, Immunefi semplifica il coinvolgimento di hacker/clienti gestendo tutte le comunicazioni, il coordinamento e la negoziazione, se necessario. Non richiedono KYC, consentendo agli hacker di rimanere anonimi se lo desiderano, e se hanno già indossato un cappello nero, potrebbe essere attraente. Inoltre, Immunefi accetta pagamenti in criptovalute, aggiungendo flessibilità sia per i clienti che per gli hacker.
"Agiamo come un porto sicuro per i cappelli neri che vengono da noi e diventano cappelli bianchi", ha detto Keith di Immunefi a The Defiant.
Ciò che questi grandi pagamenti hanno significato per Immunefi è un'enorme crescita. Da quando Immunefi è stato lanciato con tre clienti, l'azienda ne ha integrati altri 113.
Confronta questo con la piattaforma di ricompense dei bug, Yes We Hack, lanciata alcuni anni fa e ha 100 clienti. Immunefi ha meno clienti di Hackerone, ma sicuramente più in criptovalute.
"Immunefi sta creando precedenti eccezionali", afferma Kevin McSheehan, AKA pad, un hacker black hat diventato white hat che ha familiarità con Immunefi che deve ancora partecipare alle taglie sulla piattaforma. “Stanno distribuendo taglie senza precedenti e hanno coperto la nicchia [della cripto]. Sono finiti i giorni in cui spulciava Hackerone per trovare programmi blockchain inafferrabili.
Il tuo codice è vulnerabile
Ma ci sono volute delle persuasioni. I co-fondatori di Immunefi sono nativi delle criptovalute, il che ha aiutato. Hanno fatto un'enorme quantità di sensibilizzazione nel settore quando l'azienda è stata lanciata per la prima volta.
Vedi, nessuno sviluppatore vuole ricevere un messaggio che dice "Ehi, il tuo codice è vulnerabile". Essendo il portatore di cattive notizie, questo non ha sempre ottenuto pacche sulla spalla e parate da parte degli hacker white hat. E i programmi di bug bounty sono ancora così ad hoc che molti protocolli non assegnano a nessuno la gestione specifica dei report. Coloro che hanno il compito di controllare gli invii hanno altri lavori all'interno dei progetti e, di sicuro, alcuni degli invii che passano sono cazzate, il che si aggiunge al fastidio.
Quindi il discorso di Immunefi era: "Ehi, sappiamo che eseguire programmi di ricompensa dei bug è difficile, lascia che lo facciamo per te". E ha funzionato.
Anche se gli hack sono dilaganti in DeFi, Immunefi ha bloccato una buona quantità. Più di $ 3 milioni di taglie sono stati pagati utilizzando la piattaforma, scongiurando più di $ 1 miliardo di danni, afferma la società. Attualmente ci sono $ 31 milioni di taglie disponibili sulla piattaforma. Secondo Amador, vengono rilevati bug critici su circa un quarto dei clienti di Immunefi.
Caccia di taglie a tempo pieno
In qualità di precursore di taglie su misura per criptovalute e DeFi, Immunefi vuole rendere la caccia ai bug una carriera praticabile piuttosto che un semplice hobby che gli hacker perseguono per divertimento nel loro tempo libero.
"I soldi sono lì per loro per renderlo un lavoro a tempo pieno", ha detto Amador a The Defiant.
Abbastanza sicuro, l'hacker che ha ricevuto il pagamento di $ 1.5 milioni di Armor, Alexander Schlindwein, ha dichiarato: "Non avevo mai visto ricompense così elevate per vulnerabilità critiche prima". E questi non erano solo i grandi protocolli testati in battaglia: queste taglie venivano offerte da giocatori più piccoli.
Schlindwein è il CTO di Ideamarket, quindi ha un lavoro a tempo pieno, ma sicuramente fare un milione al chiaro di luna è piuttosto potente.
"Agiamo come un porto sicuro per i cappelli neri che vengono da noi e diventano cappelli bianchi".
Travin Keith, Immuni
Se un sacco di soldi attirerebbe più hacker nel mondo delle taglie a tempo pieno, ciò rafforzerebbe le difese del protocollo, proteggerebbe meglio le risorse dei clienti e affronterebbe una debolezza critica nell'intera proposta DeFi.
"C'è una tale pressione enorme per innovare e competere nella DeFi che sfortunatamente, molti protocolli corrono il rischio di una vulnerabilità nel codice piuttosto che dedicare più tempo a test e test, assicurandosi che le cose siano completamente sicure", afferma Keith di Immunefi.
I programmi di ricompense dei bug come quello di Immunefi offrono una valida alternativa per trattenere il lancio di un prodotto. Aumentare i pagamenti offre un valore equo come alternativa al furto. In questo modo, le ricompense dei bug possono fungere da ultima linea di difesa nello stack di sicurezza degli smart contract.
"Sono certo che le piattaforme di bug bounty native di crittografia/DeFi come ImmuneFi svolgono un ruolo fondamentale nel migliorare la situazione attuale di attacchi e exploit costanti", ha affermato Schlindwein.
- 000
- 100
- Ad
- Mirare
- Tutti
- Consentire
- Attività
- MIGLIORE
- Nero
- blockchain
- Sicurezza di Blockchain
- potenziamento
- mediazione
- Insetto
- bug
- Career
- catturati
- ceo
- verifica
- Co-fondatore
- co-fondatori
- codice
- Coindesk
- Comunicazione
- comunità
- azienda
- concorrenti
- contratto
- Coppia
- crypto
- CTO
- Corrente
- Cybersecurity
- decentrata
- Difesa
- DeFi
- consegna
- Costruttori
- sviluppatori
- DID
- Dollaro
- dollari
- Presto
- fiera
- finanziare
- trova
- Nome
- Flessibilità
- ti divertirai
- finanziamento
- fondi
- GitHub
- buono
- Crescita
- incidere
- degli hacker
- hacker
- hack
- Manovrabilità
- Notizie
- Alta
- Come
- HTTPS
- Enorme
- industria
- IT
- Lavoro
- Offerte di lavoro
- join
- Le
- KYC
- lanciare
- linea
- Lista
- maggiore
- Fare
- uomo
- milione
- soldi
- Più popolare
- Rete
- notizie
- numeri
- NXT
- offrire
- offerta
- Offerte
- Va bene
- aprire
- open source
- codice open source
- ordini
- Altro
- Paga le
- piattaforma
- Piattaforme
- Popolare
- Post
- pressione
- prezzo
- Prodotto
- Programmi
- progetto
- progetti
- protegge
- protezione
- qualità
- gamma
- rapporto
- Report
- Rewards
- Rischio
- ROBERT
- running
- sicura
- scala
- problemi di
- set
- regolazione
- SIX
- piccole
- smart
- smart contract
- So
- Software
- lo spazio
- spendere
- rubare
- Target
- Testing
- furto
- tempo
- top
- us
- APPREZZIAMO
- impresa
- vulnerabilità
- vulnerabilità
- Vulnerabile
- settimana
- OMS
- entro
- Lavora
- mondo
- anni
- youtube
