Devo apenas roubar o dinheiro?
Há uma vulnerabilidade no código… De um protocolo DeFi com US$ 3 bilhões em TVL. Eu estava apenas olhando o código-fonte aberto para me divertir. Mas agora é sério. Há uma recompensa por bugs, uma recompensa que paga US$ 10 mil para qualquer um que encontrar um grande ponto fraco. Mas explorar essa vulnerabilidade me permitiria desviar US$ 2 milhões em fundos de usuários. Parece bastante crítico. US$ 10 mil? Mais de US$ 2 milhões? Ou é roubar ou ser roubado, certo?
Essa é a tentação que os hackers devem enfrentar quando encontram vulnerabilidades no código criptográfico. Embora existam programas de recompensa por bugs que reconhecem e compensam hackers que relatam bugs no código do projeto, eles normalmente não oferecem recompensas que pareçam apropriadas para o dano potencial caso os bugs sejam explorados. Além disso, os hackers, mesmo os white hats, podem ser tratados como um incômodo ou uma ameaça, e alguns são totalmente descartados.
Alvo Atraente
Immunefi é uma plataforma com nove meses que saltou direto para o meio desse dilema. Ele conecta protocolos criptográficos com hackers e tem como objetivo profissionalizar um terreno sem lei em segurança cibernética – DeFi. O motivo é óbvio: há muito dinheiro em risco neste momento. Façanhas sensacionais como a desta semana Hack de $ 600 milhões da Poly Network – e a decisão do perpetrador de devolver grande parte do saque – estão constantemente nas manchetes.
“O espaço DeFi é literalmente o alvo mais atraente para hackers que já existiu”, diz Robert Forster, cofundador e CTO da Armadura.Fi, uma corretora descentralizada que oferece cobertura de proteção para ativos DeFi. Ele publica recompensas de US$ 1 milhão no Immunefi.
É isso mesmo, a Armor está disposta a pagar US$ 1 milhão para encontrar um bug crítico e, na verdade, eles já pagaram, pagando US$ 1.5 milhão a um hacker em fevereiro por um bug crítico que colocou suas reservas em risco.
“Nosso pagamento médio é de dezenas de milhares de dólares”, diz Mitchell Amador, cofundador e CEO da Immunefi. “É apenas uma ordem de magnitude maior do que qualquer outra plataforma de recompensas de bugs.”
“O espaço DeFi é literalmente o alvo mais atraente para hackers que já existiu.”
Robert Forster
A Immunefi aumentou o preço mínimo para recompensas de bugs em todo o DeFi. Dando uma olhada a lista de recompensas disponíveis na plataforma da Immunefi, podemos ver que o xDai está oferecendo recompensas de até US$ 2 milhões (ou seja, seis zeros pagos por um único relatório de bug de alta qualidade); Cream Finance está oferecendo recompensas de até US$ 1.5 milhão; SushiSwap tem uma recompensa listada que recompensa hackers de até US$ 1.25 milhão; e PancakeSwap e Sovryn juntam-se à Armor para postar recompensas no Immunefi por US$ 1 milhão.
Esses pagamentos são basicamente inéditos no mundo das recompensas por bugs. Até agora.
O conflito entre codificadores de computador
O confronto entre hackers e desenvolvedores de protocolos está em evidência.
PeckShield, uma empresa de segurança blockchain, relatou recentemente uma vulnerabilidade potencial a um protocolo apenas para receber esse desrespeito em resposta: “Fomos auditados pela Techrate, o projeto tem mais de 2 meses. Estamos bem, procure trabalho em outro lugar 😉”
Durante o recente Exploração da Poly Network, o hacker ou hackers disseram que poderiam ter roubado muito mais do que roubaram e não estavam tão interessados no dinheiro quanto em dar uma lição. E o hacker que explorou Thorchain também enviaram uma nota ao protocolo explicando que poderiam ter levado mais, mas queriam minimizar os danos. A linha principal: “A recompensa de 10% do VAR teria evitado isso”.
VAR significa valor em risco e é uma estimativa do valor em dólares em risco de perda durante um determinado período de tempo.
O que é particularmente interessante sobre o hacker ter jogado fora 10% é que essa é a quantia que a Immunefi incentiva seus clientes a oferecer aos hackers que encontram bugs críticos – 10% do valor total bloqueado (TVL) no protocolo. Immunefi chama isso de recompensa escalonável por bugs, e é o que os diferencia no espaço de recompensas por bugs.
Se você tem prestado atenção ao DeFi, sabe que 10% do TVL em muitas dessas plataformas representa uma grande quantidade de dinheiro.
Apenas alguns dias após o ataque de Thorchain, o segundo em uma semana, o protocolo ofereceu uma recompensa por bugs de US$ 500,000 no Imunefi. Embora isso não seja 10% – Thorchain tem um pouco mais de US$ 100 milhões TVL - cerca de 5%, ainda é uma grande recompensa.
Chega de dinheiro miserável
A Immunefi foi criada em meados de dezembro por três cofundadores: Amador, Travin Keith e Duncan Townsend. Amador e Keith se conheceram enquanto trabalhavam na NXT Foundation, que promove e gerencia a comunidade NXT, um blockchain de contrato inteligente lançado em 2013. Amador já estava trabalhando na segurança DeFi (ou na falta dela) com outro homem, que recomendou Townsend como “o melhor segurança”.
A equipe arrecadou dinheiro e iniciou o empreendimento, mas não está compartilhando mais detalhes sobre o financiamento no momento.
Verificando um dos concorrentes da Immunefi e a plataforma de recompensas de bugs mais popular do mundo do software, Hackerone, parece que o Github usou a plataforma para pagar US$ 50,000 por um bug crítico há algumas semanas. Caso contrário, as recompensas pagas e divulgadas normalmente não chegam nem perto da faixa de US$ 10 mil.
Mas essas pequenas recompensas simplesmente não funcionam na criptografia.
“É a combinação da quantidade de dinheiro no DeFi e a facilidade de sacar esse dinheiro e ainda permanecer anônimo e todo o código é de código aberto”, diz Forster da Armor. “É quase uma loucura o quão perfeita a indústria é para os hackers.”
Amador repete isso, dizendo: “Os números são tão gigantescos e a capacidade de ser pego é tão pequena, se você não tem muitos princípios, há uma enorme tentação de desistir”.
Chapéus pretos tornam-se chapéus brancos
Além do dinheiro, a Immunefi agiliza o envolvimento hacker/cliente, cuidando de toda a comunicação, coordenação e negociação, se necessário. Eles não exigem KYC, permitindo que os hackers permaneçam anônimos se assim o desejarem, e se já usaram chapéu preto antes, isso pode ser atraente. Além disso, a Immunefi aceita pagamentos em criptografia, adicionando flexibilidade para clientes e hackers.
“Agimos como um porto seguro para que os chapéus pretos venham até nós e se tornem chapéus brancos”, disse Keith da Immunefi ao The Defiant.
O que estes grandes pagamentos significaram para a Immunefi foi um enorme crescimento. Desde que a Immunefi foi lançada com três clientes, a empresa integrou mais 113.
Compare isso com a plataforma de recompensas por bugs, Yes We Hack, que foi lançada há alguns anos e tem 100 clientes. A Immunefi tem menos clientes que o Hackerone, mas definitivamente mais em criptografia.
“A Immunefi está estabelecendo precedentes excepcionais”, diz Kevin McSheehan, também conhecido como pad, um hacker de chapéu preto que se tornou um hacker de chapéu branco que está familiarizado com a Immunefi e ainda não participou de recompensas na plataforma. “Eles estão distribuindo recompensas sem precedentes e têm o nicho [de criptografia] coberto. Já se foram os dias de vasculhar o Hackerone para encontrar programas blockchain indescritíveis.”
Seu código é vulnerável
Mas foi preciso alguma persuasão. Os cofundadores da Immunefi são cripto nativos, o que ajudou. Eles fizeram uma enorme divulgação no setor quando a empresa foi lançada.
Veja, nenhum desenvolvedor deseja receber uma mensagem dizendo: “Ei, seu código está vulnerável”. Sendo portador de más notícias, isso nem sempre rendeu tapinhas nas costas e desfiles de hackers de chapéu branco. E os programas de recompensa por bugs ainda são tão ad hoc que muitos protocolos não designam ninguém para gerenciar especificamente os relatórios. Os encarregados de verificar os envios têm outras funções dentro dos projetos e, com certeza, alguns dos envios que eles passam são uma besteira, o que aumenta o aborrecimento.
Então, a proposta da Immunefi foi: “Ei, sabemos que executar programas de recompensa de bugs é difícil, deixe-nos fazer isso por você”. E funcionou.
Embora os hacks sejam desenfreados no DeFi, o Immunefi bloqueou uma boa quantidade. Mais de US$ 3 milhões em recompensas foram pagos usando a plataforma, evitando mais de US$ 1 bilhão em danos, diz a empresa. Atualmente, há US$ 31 milhões em recompensas disponíveis na plataforma. De acordo com Amador, bugs críticos estão sendo encontrados em cerca de um quarto dos clientes da Immunefi.
Caça de recompensas em tempo integral
Como pioneira em recompensas adaptadas para criptografia e DeFi, a Immunefi quer fazer da caça a bugs uma carreira viável, em vez de apenas um hobby que os hackers buscam para se divertir em seu tempo livre.
“O dinheiro existe para eles fazerem deste um trabalho de tempo integral”, disse Amador ao The Defiant.
Com certeza, o hacker que recebeu o pagamento de US$ 1.5 milhão da Armor, Alexander Schlindwein, disse: “Eu nunca tinha visto recompensas tão altas por vulnerabilidades críticas antes”. E esses não eram apenas os grandes protocolos testados em batalha – essas recompensas estavam sendo oferecidas por jogadores menores.
Schlindwein é o CTO da Ideamarket, então ele tem um emprego de tempo integral, mas certamente ganhar um milhão ao luar é muito poderoso.
“Agimos como um porto seguro para que os chapéus negros venham até nós e se tornem chapéus brancos.”
Travin Keith, Imunefi
Se muito dinheiro atrair mais hackers para o mundo das recompensas em tempo integral, isso fortaleceria as defesas do protocolo, protegeria melhor os ativos dos clientes e resolveria uma fraqueza crítica em toda a proposta DeFi.
“Há uma pressão tão grande para inovar e competir no DeFi que, infelizmente, muitos protocolos assumem o risco de uma vulnerabilidade no código do que gastam mais tempo testando e testando, garantindo que as coisas estejam completamente seguras”, diz Keith da Immunefi.
Programas de recompensa de bugs como o Immunefi oferecem uma alternativa viável para atrasar o lançamento de um produto. Aumentar os pagamentos oferece um valor justo como alternativa ao roubo. Dessa forma, as recompensas por bugs podem atuar como a última linha de defesa na pilha de segurança do contrato inteligente.
“Tenho certeza de que plataformas nativas de recompensa de bugs de criptografia/DeFi, como ImmuneFi, desempenham um papel fundamental na melhoria da situação atual de constantes hacks e explorações”, disse Schlindwein.
- 000
- 100
- Ad
- Visando
- Todos os Produtos
- Permitindo
- Ativos
- MELHOR
- Preto
- blockchain
- Segurança blockchain
- impulsionar
- corretagem
- Bug
- erros
- Oportunidades
- apanhados
- Chefe executivo
- a verificação
- Co-fundador
- co-fundadores
- código
- Coindesk
- Comunicação
- comunidade
- Empresa
- concorrentes
- contract
- Casal
- cripto
- CTO
- Atual
- Cíber segurança
- Descentralizada
- Defesa
- DeFi
- entregando
- Developer
- desenvolvedores
- DID
- Dólar
- dólares
- Cedo
- feira
- financiar
- encontra
- Primeiro nome
- Flexibilidade
- Diversão
- financiamento
- fundos
- GitHub
- Bom estado, com sinais de uso
- Growth
- cortar
- cabouqueiro
- hackers
- hacks
- Manipulação
- headlines
- Alta
- Como funciona o dobrador de carta de canal
- HTTPS
- enorme
- indústria
- IT
- Trabalho
- Empregos
- juntar
- Chave
- KYC
- lançamento
- Line
- Lista
- principal
- Fazendo
- homem
- milhão
- dinheiro
- Mais populares
- rede
- notícias
- números
- nxt
- oferecer
- oferecendo treinamento para distância
- Oferece
- OK
- aberto
- open source
- código-fonte aberto
- ordens
- Outros
- Pagar
- plataforma
- Plataformas
- Popular
- POSTAGENS
- pressão
- preço
- Produto
- Programas
- projeto
- projetos
- proteger
- proteção
- qualidade
- alcance
- Denunciar
- Relatórios
- Recompensas
- Risco
- ROBERT
- corrida
- seguro
- dimensionamento
- segurança
- conjunto
- contexto
- SIX
- pequeno
- smart
- smart contract
- So
- Software
- Espaço
- gastar
- roubado
- Target
- ensaio
- roubo
- tempo
- topo
- us
- valor
- risco
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- semana
- QUEM
- dentro
- Atividades:
- mundo
- anos
- Youtube
