Une introduction à ImmuneFi : La plateforme de bug bounty leader mondial
L'industrie de la blockchain n'est pas étrangère aux attaques, principalement parce qu'elle stocke et protège des milliards d'actifs numériques. Plus de 55 millions de dollars ont été perdus rien qu'en octobre en raison d'attaques sur des projets comme Radiant Capital et Morpho Labs. Ces attaques ciblent les bugs dans le code initial du projet, cherchant des failles et des portes dérobées pour s'infiltrer.
Reconnaissant la nécessité d'une solution décentralisée pour atténuer cela, Mitchell Amador a fondé ImmuneFi pour protéger les projets blockchain contre les bugs qui pourraient causer des problèmes, peu importe leur taille. Ainsi, nous devons comprendre ce qu'ImmuneFi fait et comment cela bénéficie à la communauté blockchain.
Qu'est-ce que ImmuneFi?
Source: immunefi
Immunefi est une plateforme de sécurité qui protège les projets Web3 en identifiant et en corrigeant les bogues dans les systèmes blockchain, les contrats intelligents et les applications décentralisées (dApps). Les bogues ne sont tout simplement que des défauts ou des vulnérabilités dans le code d'un système. Essentiellement, Immunefi incite les hackers white hat à trouver et signaler des bogues et à les récompenser en fonction de la gravité de la vulnérabilité.
En plus de ses services de prime pour les bogues, Immunefi fournit divers outils pour renforcer la sécurité de la blockchain. Ces outils comprennent l'hébergement de réseau, la gestion du processus de triage pour les rapports de bogues et la supervision de programmes de sécurité complets pour différents projets. Leurs services de contrats intelligents sont particulièrement utiles pour effectuer des révisions de code et détecter les vulnérabilités, ce qui aide à se protéger contre les acteurs malveillants. Immunefi se vante également d'un écosystème de plus de 35 000 chercheurs en sécurité, dont plus de 1 000 ont découvert des bogues critiques sur le mainnet.
Histoire d'ImmuneFi
ImmuneFi a été fondée parMitchell Amador, qui a lancé la plateforme le 9 décembre 2020. L'idée d'ImmuneFi a frappé Amador lors d'un voyage de randonnée dans les Alpes suisses au début de 2020, lorsqu'il a découvert qu'un autre projet de cryptomonnaie était tombé victime d'un piratage. Cet incident a mis en lumière le besoin urgent d'une sécurité améliorée dans les espaces DeFi et Web3, car aucune solution existante n'adressait ces vulnérabilités.
Reconnaissant que le talent nécessaire pour résoudre ce problème existait au sein de la communauté, Amador a réalisé qu'une plateforme unificatrice était nécessaire pour inciter les pirates informatiques à aider à protéger les projets. Cela a conduit à la création d'Immunefi, une plateforme de prime aux bugs dédiée à renforcer la sécurité des applications Web3.
Depuis sa création, ImmuneFi a acquis une solide réputation en établissant des partenariats avec des projets de premier plan tels que Synthetix, Le Graphe, Polygon, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Réseau Bancor, et Chainlink. Aujourd'hui, ImmuneFi est la plateforme de bug bounty leader dans Web3, au service de plus de 330 projets.
L'impact d'ImmuneFi a été significatif, la plateforme auraitéconomiser plus de 25 milliards de dollarsen protégeant les fonds des utilisateurs contre les piratages potentiels et en distribuant plus de 100 millions de primes. Actuellement, la plateforme joue un rôle crucial dans la protection de plus de 190 milliards de dollars d'actifs des utilisateurs, renforçant ainsi l'importance de la sécurité axée sur la communauté dans le monde en constante évolution des cryptomonnaies.
Comment fonctionne ImmuneFi ?
ImmuneFi met en place un système de prime aux bogues transparent, soutenu par un mécanisme de consensus de preuve de concept. Une preuve de concept est un code de base fonctionnel rédigé par un chapeau blanc mettant en évidence les failles d'un contrat intelligent ou d'un système blockchain. Il est créé pour montrer comment ces failles peuvent être exploitées sans causer de problèmes dans un environnement en direct. En tant que telles, elles servent de moyen standard pour fournir des preuves de l'impact potentiel d'un bogue sur un projet. Elles sont également exigées par presque tous les programmes de prime aux bogues sur ImmuneFi.
Les opérations d'ImmuneFi s'adressent à la fois aux hackers éthiques et aux propriétaires de projets. Les hackers éthiques, également appelés whitehats, identifient et corrigent les vulnérabilités des systèmes et des logiciels avant que des acteurs malveillants ne puissent les exploiter. Ces acteurs malveillants sont connus sous le nom de blackhats, et tandis qu'ils se livrent à des activités illégales à des fins personnelles, les whitehats opèrent dans les limites de la légalité et collaborent souvent avec des organisations pour renforcer leur sécurité.
D'une part, les hackers whitehat (professionnels de la cybersécurité qui identifient et corrigent les vulnérabilités du système) explorent une sélection de primes au bogue d'une valeur de plus de 162 millions de dollars provenant de projets réputés dans l'espace Web3. Une fois qu'ils trouvent un programme correspondant à leurs compétences, les participants peuvent passer en revue les exigences de la prime et examiner le code spécifique éligible à la révision. Cependant, seuls les bugs découverts dans le code spécifié dans la portée de la prime seront récompensés.
Après avoir trouvé un bug, le hacker whitehat doit créer un compte et soumettre le bug à travers la Plateforme de bugs ImmuneFi. Dès que l'équipe ImmuneFi confirme la validité du bogue, elle travaillera main dans la main avec le chasseur de primes et le client pour régler le problème, après quoi les paiements seront effectués.
Du côté des propriétaires de projets, ils devront remplir un formulaire d'intégration de bug bounty, après quoi ils recevront un questionnaire. ImmuneFi utilisera ensuite les réponses au questionnaire pour rédiger un programme de bug bounty. Ensuite, le projet envoie le projet de bug bounty au client pour examen. Si tout est bon, la prime est remise au spécialiste du lancement, qui travaillera avec l'équipe marketing du client pour décider du meilleur moment de lancement et d'autres détails marketing.
En tant que service client, ImmuneFi rédige des critiques de correctifs de bogues pour les vulnérabilités afin de rappeler à la communauté cryptographique plus large l'engagement du projet en matière de sécurité. Ils fournissent également une assistance RP et des conseils sur la communication efficace des vulnérabilités de correctifs.
ImmuneFi utilise également un système de classification de gravitépour gérer efficacement les rapports de bugs. Ce système classe les vulnérabilités en fonction de leur impact potentiel sur les fonds des utilisateurs, la fonctionnalité du réseau et la sécurité globale du protocole. Chaque projet au sein du réseau ImmuneFi est attribué un niveau de gravité, que l'on retrouve dans la section "Récompenses par niveau de menace" de la page du programme de primes pour les bugs du projet.
La dernière version de la Système de classification de la gravité des vulnérabilités Immunefi (v2.3)utilise une échelle à quatre niveaux : Critique, Élevé, Moyen et Bas. Les vulnérabilités critiques pourraient entraîner des conséquences graves, telles que des pannes totales du réseau ou des vols de fonds importants, tandis que les catégories inférieures se concentrent sur des problèmes moins graves, comme des bugs mineurs dans les contrats intelligents.
Le système décrit également les domaines considérés comme étant hors de portée, y compris les vulnérabilités dans les fichiers de test, les attaques liées à la gouvernance et les risques économiques hors de la compétence d'ImmuneFi. Ce cadre aide les développeurs à renforcer la sécurité de leur projet en fournissant des lignes directrices standard pour classer et traiter les vulnérabilités. Il spécifie également tous les comportements interdits dans le cadre des programmes de primes pour les bugs afin de garantir des pratiques de test de sécurité éthiques et sûres.
Principales caractéristiques d'ImmuneFi
ImmuneFi abrite plusieurs fonctionnalités intéressantes, notamment:
Profils ImmuneFi
Source: immunefi
Profils ImmuneFiaider les whitehats à mettre en valeur leurs réalisations auprès du monde entier, y compris les vulnérabilités qu'ils ont signalées, leurs gains, les badges et récompenses qu'ils ont obtenus, ainsi que leur classement sur le tableau de bord d'ImmuneFi.
Bien que ce soit encore la première version, les profils seront disponibles pour tous les chapeaux blancs ayant au moins un rapport payant sur ImmuneFi. Cependant, dans les prochaines mises à jour, l'ensemble de la communauté de recherche pourra accéder aux profils. La nouvelle version inclura également de nouvelles fonctionnalités, telles qu'un Flux de Contribution, qui affiche les rapports au fil du temps afin que les utilisateurs puissent suivre leur impact.
ImmuneFi a six badges qui seront attachés au profil du participant. Ceux-ci comprennent:
- L'un de nous : ce badge est décerné une fois que vous avez complété votre profil Immunefi, y compris tous vos liens vers les réseaux sociaux.
- Achetez la BMW : lorsque vous avez gagné plus de 100 000 $ sur ImmuneFi.
- Il y a de l'herbe dehors, tu sais : lorsque vous avez gagné plus de 1 000 000 $.
- Amis dans les hautes sphères: Une fois que vous avez lié votre profil Immunefi à votre bio Twitter (cela peut prendre jusqu'à 24 heures pour s'afficher, mais cela s'enregistre généralement en 10 minutes).
- High Five: Après avoir reçu cinq primes sur Immunefi.
- Rocketman: Lorsque vous identifiez une prime valide à partir d'un Boost.
Plus de badges, de cartes de renforcement et de réalisations seront ajoutés lors de prochaines mises à jour.
Concours d'audit
Source :immunefi
Une Concours d'auditIl s'agit d'une revue de code sensible au temps avec un pool de récompenses désigné pour les chapeaux blancs. Pendant ces événements, les hackers éthiques signalent des vulnérabilités de sécurité et les récompenses sont allouées en fonction de l'impact et de la gravité de leurs découvertes, tel que déterminé par le système de notation d'Immunefi.
Immunefi collabore avec chaque projet blockchain pour personnaliser la compétition, y compris décider de la taille de la réserve de récompenses et de la durée de l'événement, et fournir une assistance marketing experte pour attirer des chercheurs compétents.
Une fois la compétition terminée, les participants sont récompensés pour leurs contributions, et les projets reçoivent un rapport de synthèse complet qui présente les principales conclusions et les idées obtenues lors de l'événement.
Les développeurs peuvent lancer des compétitions d'audit en quelques jours et obtenir des mises à jour en temps réel pendant que la compétition est en cours. Ils sont également plus économiques que la plupart des concours d'audit, offrant des frais 20% moins chers et connectant les développeurs à une communauté plus vaste et plus compétente de chercheurs en sécurité.
Une autre caractéristique notable est le leaderboard, qui permet aux participants de suivre leur performance et de se comparer. De plus, les développeurs peuvent toujours recevoir des récompenses même si un autre chercheur découvre un bug en premier. Le prix est partagé entre tous ceux qui peuvent identifier le même problème, ce qui soulage la pression de se dépêcher et favorise le travail d'équipe.
Récompenses Whitehat
Source: moyen
L'ImmunefiRécompenses Whitehatsont conçus pour célébrer les efforts exceptionnels des whitehats qui ont joué un rôle essentiel dans l'amélioration de la sécurité de Web3. Ces récompenses reconnaissent les individus pour leur signalement responsable de vulnérabilités de sécurité et offrent différentes formes de reconnaissance, telles que des NFTs numériques et des articles de luxe.
Les récompenses suivent une structure hiérarchisée, incitant les pirates à atteindre des objectifs spécifiques, tels que la soumission de rapports éligibles au paiement ou l'atteinte de certains seuils de primes. Les niveaux sont actuellement divisés en plusieurs catégories : le niveau Initiate, pour les white hats qui ont gagné plus de 50 000 $ sur ImmuneFi, et le niveau Elite, pour ceux qui ont gagné plus de 100 000 $. Cependant, d'autres niveaux, tels que le niveau Master (plus de 1 million de dollars de gains) et le niveau Grandmaster (plus de 10 millions de dollars de gains), devraient être annoncés prochainement.
Collection du Temple de la renommée Whitehat
Source: immunefi
Le Hall of Fame des Whitehat est une collection NFT pour les white hats les plus acclamés au monde. Les détenteurs de cette carte du Hall of Fame sont considérés comme les hackers les plus talentueux et importants au monde. Ils reçoivent des NFT sur mesure pour immortaliser leurs contributions à la sécurité de Web3.
Chaque NFT est unique et créé spécifiquement pour chaque rapport de bug important et réussi. Les détenteurs peuvent le conserver gratuitement ou le vendre à des collectionneurs intéressés par la célébration des moments historiques de la sécurité Web3.
Invitation seulement
Source: immunefi
L'ImmuneFiProgramme sur invitation seulementest conçu pour sélectionner uniquement les chercheurs les plus qualifiés pour des projets spécifiques de primes de bugs. Ce processus de sélection prend en compte les exigences techniques et l'écosystème de chaque projet, en veillant à ce que l'expertise des chercheurs soit bien alignée sur les besoins du projet pour une vérification ou une participation à des primes de bugs efficaces.
La caractéristique principale de ce programme est son engagement à maintenir la confidentialité et la discrétion. Les équipes de projet peuvent adapter leurs protocoles pour inclure des accords spécifiques concernant la confidentialité, le contrôle de la visibilité des actifs et les préférences liées à la publication des résultats. Cela garantit que toutes les informations sensibles sont traitées de manière sécurisée, permettant aux projets de travailler avec des experts en sécurité de premier plan tout en respectant leurs normes de confidentialité.
En se concentrant sur les vulnérabilités critiques et les problèmes de sécurité importants, le programme sur invitation réduit efficacement la période pendant laquelle les menaces potentielles peuvent apparaître. Cela conduit à une détection et à une résolution plus rapides des préoccupations en matière de sécurité, améliorant ainsi la sécurité globale du projet blockchain.
Coffres-forts ImmuneFi
Source: immunefi
Les coffres-forts d'ImmuneFi sont conçus pour accroître la transparence et la confiance entre les whitehats et les propriétaires de projets en les aidant à gérer de manière sécurisée les actifs et les paiements de primes de bug bounty. Les projets peuvent déposer et retirer des fonds de leurs coffres-forts, et le solde alloué aux primes est visible par les whitehats. Ce niveau de transparence contribue à renforcer la confiance, car les whitehats seront encouragés à soumettre des rapports de bug de premier ordre, sachant que le projet a suffisamment d'argent pour rémunérer les bugs.
Les projets peuvent configurer leurs coffres-forts en moins de 10 minutes. Après avoir vérifié un rapport de bogue valide, les paiements sont émis directement à partir du coffre-fort du projet, rendant les transactions fluides et sécurisées. Ce système comprend également des fonctionnalités telles que la vérification du portefeuille pour prévenir les erreurs ou les paiements incorrects.
Les Vaults sont actuellement disponibles sur Ethereum et Optimism, et devraient être disponibles sur d'autres chaînes EVM comme Polygon, Gnosis Chain et Arbitrum. Les projets peuvent déposer des stablecoins, de l'ETH et tout autre actif de la liste de tokens d'Uniswap. Ils peuvent également récompenser avec un ou plusieurs actifs dans une seule transaction.
ImmuneFi Safe Harbor
Source: immunefi
ImmuneFi Safe Harbor est un cadre juridique créé par Security Alliance (SEAL) pour permettre aux whitehats de protéger les fonds d'un projet lorsqu'il est attaqué par des blackhats ou des acteurs malveillants. Ce cadre leur permet de récupérer les fonds qui sont en danger lors de telles attaques et de les rediriger en toute sécurité vers un coffre-fort désigné géré par Immunefi. En retour, ces chercheurs peuvent gagner jusqu'à 60% de la récompense critique maximale disponible pour le projet.
Immunefi a également intégré Safe Harbor dans les programmes de prime de bug existants. Safe Harbor utilise également le tableau de bord des rapports de bug existant, de sorte que les projets peuvent utiliser le même système d'alerte d'urgence et le personnel de sécurité avec lequel ils sont à l'aise. En tant que tel, Safe Harbor agit comme une extension des programmes de prime de bug d'ImmuneFi.
Bugs courants trouvés par les hackers Immune Fi
Réentrance
Les vulnérabilités de réentrée se produisent lorsqu’un contrat intelligent peut être appelé plusieurs fois avant la fin de la première exécution. Cela permet aux attaquants d’insérer un code malveillant qui appelle à plusieurs reprises le même contrat, drainant des fonds ou modifiant son état. Un exemple célèbre est le piratage de DAO en 2016, qui a ciblé le premier réseau Ethereum. Pour éviter les problèmes de réentrée, les développeurs peuvent utiliser des protections de réentrée pour empêcher plusieurs appels au cours d’une même opération.
Oracle/Manipulation des prix
Les oracles de prix alimentent des données de marché critiques, telles que les prix des jetons, aux contrats intelligents. Ainsi, la manipulation de l'oracle implique que les attaquants exploitent ces flux de données pour fournir de fausses informations, ce qui entraîne des calculs de prix inexactes. Par exemple, le fait de manipuler l'oracle permet à un attaquant d'augmenter les prix des jetons et de réaliser des bénéfices lors des transactions. Pour prévenir cela, les développeurs utilisent des oracles décentralisés qui agrègent des données provenant de sources multiples.
Contrôle d'accès faible
La plupart des systèmes adoptent des mesures strictes de contrôle d'accès, telles que des autorisations basées sur les rôles et une authentification robuste, pour se protéger contre les accès non autorisés. Ces contrôles garantissent que les utilisateurs et les processus ne sont accordés que les autorisations nécessaires à leurs rôles spécifiques. La documentation des capacités et des limitations de chaque rôle permet d'identifier les vulnérabilités potentielles, ce qui facilite les tests unitaires plus efficaces et la résolution des conflits. Ce processus permet de garantir que le système fonctionne comme prévu, réduisant ainsi le risque de vulnérabilités critiques causées par la négligence ou les erreurs de configuration.
De plus, il est essentiel de limiter l'autorité de chaque rôle. Accorder des autorisations excessives ou s'appuyer trop sur le contrôle centralisé peut causer des dommages importants si un compte ou une clé privée est compromis. La division des rôles en segments plus petits réduira l'impact de ces violations, améliorant ainsi la stabilité du système.
Frontrunning
Le frontrunning se produit lorsqu'un attaquant exploite le caractère public des transactions de la blockchain. Les attaquants observent les transactions en attente dans le mempool (une zone temporaire pour stocker les transactions non exécutées sur la blockchain), puis placent leurs transactions avec des frais de gaz plus élevés pour les exécuter avant la transaction de la victime. Cela est particulièrement courant dans les échanges décentralisés, où le moment peut affecter les résultats des transactions.
Proxy non initialisé
Les contrats de proxy non initialisés se produisent lorsque les variables de stockage au sein d'un contrat de proxy ne sont pas correctement configurées avant utilisation. Ce manque de configuration appropriée peut entraîner des risques de sécurité, car ces variables non initialisées pourraient contenir des données importantes ou influencer les fonctions clés du contrat. Des pirates malveillants pourraient exploiter ces vulnérabilités en manipulant les variables non initialisées pour obtenir un accès non autorisé.
Nouvelles sur ImmuneFi
Dans l'édition d'octobre 2024 de son Rapport sur les pertes en crypto-monnaies, ImmuneFi a partagé des statistiques intéressantes sur les pertes subies par la communauté crypto cette année. Selon le rapport, la communauté crypto a perdu jusqu'à 1 400 073 177 $ à cause de piratages et de rug pulls jusqu'en octobre 2024, pour un total de 179 incidents. Cela représente une baisse d'un pour cent par rapport à octobre 2023, lorsque les pertes s'élevaient à 1 414 641 935 $.
En octobre 2024, la communauté crypto a subi des pertes allant jusqu'à 55 138 600 $ en raison de sept incidents de piratage, sans qu'aucune fraude ne soit signalée. Cela représente une augmentation de 114 % par rapport à octobre 2023, mais une baisse de 56,6 % par rapport à septembre 2024. Les pertes les plus importantes provenaient de Radiant Capital (50 millions de dollars) et de Tapioca DAO (4,4 millions de dollars). Le secteur DeFi a été le seul touché, avec BNB Chain étant le plus ciblé, représentant 50 % des pertes totales. ImmuneFi a versé plus de 100 millions de dollars en primes et a sauvé plus de 25 milliards de dollars en fonds d'utilisateurs.
ImmuneFi est-il un bon investissement ?
ImmuneFi s'est forgé une réputation en tant que programme de prime aux bugs leader dans l'industrie de la crypto. Il propose des programmes de prime aux bugs à portée générale et des solutions sur mesure comme le programme Réservé aux Invités. ImmuneFi est le point de rencontre des hackers whitehat et des propriétaires de projets, aidant ainsi les projets à rester sécurisés. Grâce à son expertise en sécurité et à son approche flexible, ImmuneFi aide les projets à construire des écosystèmes plus sécurisés.
บทความที่เกี่ยวข้อง
Qu'est-ce que Coti ? Tout ce qu'il faut savoir sur l'ICOT
Qu'est-ce que l'USDC ?
Qu'est-ce que Solscan et comment l'utiliser ?
Une introduction à ImmuneFi : La plateforme de bug bounty leader mondial
Qu'est-ce qu'ImmuneFi?
Comment fonctionne ImmuneFi ?
Principales caractéristiques d'ImmuneFi
Coffres-forts ImmuneFi
ImmuneFi Safe Harbor
Bugs courants trouvés par les hackers d'Immune Fi
Actualités sur ImmuneFi
ImmuneFi est-il un bon investissement?
L'industrie de la blockchain n'est pas étrangère aux attaques, principalement parce qu'elle stocke et protège des milliards d'actifs numériques. Plus de 55 millions de dollars ont été perdus rien qu'en octobre en raison d'attaques sur des projets comme Radiant Capital et Morpho Labs. Ces attaques ciblent les bugs dans le code initial du projet, cherchant des failles et des portes dérobées pour s'infiltrer.
Reconnaissant la nécessité d'une solution décentralisée pour atténuer cela, Mitchell Amador a fondé ImmuneFi pour protéger les projets blockchain contre les bugs qui pourraient causer des problèmes, peu importe leur taille. Ainsi, nous devons comprendre ce qu'ImmuneFi fait et comment cela bénéficie à la communauté blockchain.
Qu'est-ce que ImmuneFi?
Source: immunefi
Immunefi est une plateforme de sécurité qui protège les projets Web3 en identifiant et en corrigeant les bogues dans les systèmes blockchain, les contrats intelligents et les applications décentralisées (dApps). Les bogues ne sont tout simplement que des défauts ou des vulnérabilités dans le code d'un système. Essentiellement, Immunefi incite les hackers white hat à trouver et signaler des bogues et à les récompenser en fonction de la gravité de la vulnérabilité.
En plus de ses services de prime pour les bogues, Immunefi fournit divers outils pour renforcer la sécurité de la blockchain. Ces outils comprennent l'hébergement de réseau, la gestion du processus de triage pour les rapports de bogues et la supervision de programmes de sécurité complets pour différents projets. Leurs services de contrats intelligents sont particulièrement utiles pour effectuer des révisions de code et détecter les vulnérabilités, ce qui aide à se protéger contre les acteurs malveillants. Immunefi se vante également d'un écosystème de plus de 35 000 chercheurs en sécurité, dont plus de 1 000 ont découvert des bogues critiques sur le mainnet.
Histoire d'ImmuneFi
ImmuneFi a été fondée parMitchell Amador, qui a lancé la plateforme le 9 décembre 2020. L'idée d'ImmuneFi a frappé Amador lors d'un voyage de randonnée dans les Alpes suisses au début de 2020, lorsqu'il a découvert qu'un autre projet de cryptomonnaie était tombé victime d'un piratage. Cet incident a mis en lumière le besoin urgent d'une sécurité améliorée dans les espaces DeFi et Web3, car aucune solution existante n'adressait ces vulnérabilités.
Reconnaissant que le talent nécessaire pour résoudre ce problème existait au sein de la communauté, Amador a réalisé qu'une plateforme unificatrice était nécessaire pour inciter les pirates informatiques à aider à protéger les projets. Cela a conduit à la création d'Immunefi, une plateforme de prime aux bugs dédiée à renforcer la sécurité des applications Web3.
Depuis sa création, ImmuneFi a acquis une solide réputation en établissant des partenariats avec des projets de premier plan tels que Synthetix, Le Graphe, Polygon, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Réseau Bancor, et Chainlink. Aujourd'hui, ImmuneFi est la plateforme de bug bounty leader dans Web3, au service de plus de 330 projets.
L'impact d'ImmuneFi a été significatif, la plateforme auraitéconomiser plus de 25 milliards de dollarsen protégeant les fonds des utilisateurs contre les piratages potentiels et en distribuant plus de 100 millions de primes. Actuellement, la plateforme joue un rôle crucial dans la protection de plus de 190 milliards de dollars d'actifs des utilisateurs, renforçant ainsi l'importance de la sécurité axée sur la communauté dans le monde en constante évolution des cryptomonnaies.
Comment fonctionne ImmuneFi ?
ImmuneFi met en place un système de prime aux bogues transparent, soutenu par un mécanisme de consensus de preuve de concept. Une preuve de concept est un code de base fonctionnel rédigé par un chapeau blanc mettant en évidence les failles d'un contrat intelligent ou d'un système blockchain. Il est créé pour montrer comment ces failles peuvent être exploitées sans causer de problèmes dans un environnement en direct. En tant que telles, elles servent de moyen standard pour fournir des preuves de l'impact potentiel d'un bogue sur un projet. Elles sont également exigées par presque tous les programmes de prime aux bogues sur ImmuneFi.
Les opérations d'ImmuneFi s'adressent à la fois aux hackers éthiques et aux propriétaires de projets. Les hackers éthiques, également appelés whitehats, identifient et corrigent les vulnérabilités des systèmes et des logiciels avant que des acteurs malveillants ne puissent les exploiter. Ces acteurs malveillants sont connus sous le nom de blackhats, et tandis qu'ils se livrent à des activités illégales à des fins personnelles, les whitehats opèrent dans les limites de la légalité et collaborent souvent avec des organisations pour renforcer leur sécurité.
D'une part, les hackers whitehat (professionnels de la cybersécurité qui identifient et corrigent les vulnérabilités du système) explorent une sélection de primes au bogue d'une valeur de plus de 162 millions de dollars provenant de projets réputés dans l'espace Web3. Une fois qu'ils trouvent un programme correspondant à leurs compétences, les participants peuvent passer en revue les exigences de la prime et examiner le code spécifique éligible à la révision. Cependant, seuls les bugs découverts dans le code spécifié dans la portée de la prime seront récompensés.
Après avoir trouvé un bug, le hacker whitehat doit créer un compte et soumettre le bug à travers la Plateforme de bugs ImmuneFi. Dès que l'équipe ImmuneFi confirme la validité du bogue, elle travaillera main dans la main avec le chasseur de primes et le client pour régler le problème, après quoi les paiements seront effectués.
Du côté des propriétaires de projets, ils devront remplir un formulaire d'intégration de bug bounty, après quoi ils recevront un questionnaire. ImmuneFi utilisera ensuite les réponses au questionnaire pour rédiger un programme de bug bounty. Ensuite, le projet envoie le projet de bug bounty au client pour examen. Si tout est bon, la prime est remise au spécialiste du lancement, qui travaillera avec l'équipe marketing du client pour décider du meilleur moment de lancement et d'autres détails marketing.
En tant que service client, ImmuneFi rédige des critiques de correctifs de bogues pour les vulnérabilités afin de rappeler à la communauté cryptographique plus large l'engagement du projet en matière de sécurité. Ils fournissent également une assistance RP et des conseils sur la communication efficace des vulnérabilités de correctifs.
ImmuneFi utilise également un système de classification de gravitépour gérer efficacement les rapports de bugs. Ce système classe les vulnérabilités en fonction de leur impact potentiel sur les fonds des utilisateurs, la fonctionnalité du réseau et la sécurité globale du protocole. Chaque projet au sein du réseau ImmuneFi est attribué un niveau de gravité, que l'on retrouve dans la section "Récompenses par niveau de menace" de la page du programme de primes pour les bugs du projet.
La dernière version de la Système de classification de la gravité des vulnérabilités Immunefi (v2.3)utilise une échelle à quatre niveaux : Critique, Élevé, Moyen et Bas. Les vulnérabilités critiques pourraient entraîner des conséquences graves, telles que des pannes totales du réseau ou des vols de fonds importants, tandis que les catégories inférieures se concentrent sur des problèmes moins graves, comme des bugs mineurs dans les contrats intelligents.
Le système décrit également les domaines considérés comme étant hors de portée, y compris les vulnérabilités dans les fichiers de test, les attaques liées à la gouvernance et les risques économiques hors de la compétence d'ImmuneFi. Ce cadre aide les développeurs à renforcer la sécurité de leur projet en fournissant des lignes directrices standard pour classer et traiter les vulnérabilités. Il spécifie également tous les comportements interdits dans le cadre des programmes de primes pour les bugs afin de garantir des pratiques de test de sécurité éthiques et sûres.
Principales caractéristiques d'ImmuneFi
ImmuneFi abrite plusieurs fonctionnalités intéressantes, notamment:
Profils ImmuneFi
Source: immunefi
Profils ImmuneFiaider les whitehats à mettre en valeur leurs réalisations auprès du monde entier, y compris les vulnérabilités qu'ils ont signalées, leurs gains, les badges et récompenses qu'ils ont obtenus, ainsi que leur classement sur le tableau de bord d'ImmuneFi.
Bien que ce soit encore la première version, les profils seront disponibles pour tous les chapeaux blancs ayant au moins un rapport payant sur ImmuneFi. Cependant, dans les prochaines mises à jour, l'ensemble de la communauté de recherche pourra accéder aux profils. La nouvelle version inclura également de nouvelles fonctionnalités, telles qu'un Flux de Contribution, qui affiche les rapports au fil du temps afin que les utilisateurs puissent suivre leur impact.
ImmuneFi a six badges qui seront attachés au profil du participant. Ceux-ci comprennent:
- L'un de nous : ce badge est décerné une fois que vous avez complété votre profil Immunefi, y compris tous vos liens vers les réseaux sociaux.
- Achetez la BMW : lorsque vous avez gagné plus de 100 000 $ sur ImmuneFi.
- Il y a de l'herbe dehors, tu sais : lorsque vous avez gagné plus de 1 000 000 $.
- Amis dans les hautes sphères: Une fois que vous avez lié votre profil Immunefi à votre bio Twitter (cela peut prendre jusqu'à 24 heures pour s'afficher, mais cela s'enregistre généralement en 10 minutes).
- High Five: Après avoir reçu cinq primes sur Immunefi.
- Rocketman: Lorsque vous identifiez une prime valide à partir d'un Boost.
Plus de badges, de cartes de renforcement et de réalisations seront ajoutés lors de prochaines mises à jour.
Concours d'audit
Source :immunefi
Une Concours d'auditIl s'agit d'une revue de code sensible au temps avec un pool de récompenses désigné pour les chapeaux blancs. Pendant ces événements, les hackers éthiques signalent des vulnérabilités de sécurité et les récompenses sont allouées en fonction de l'impact et de la gravité de leurs découvertes, tel que déterminé par le système de notation d'Immunefi.
Immunefi collabore avec chaque projet blockchain pour personnaliser la compétition, y compris décider de la taille de la réserve de récompenses et de la durée de l'événement, et fournir une assistance marketing experte pour attirer des chercheurs compétents.
Une fois la compétition terminée, les participants sont récompensés pour leurs contributions, et les projets reçoivent un rapport de synthèse complet qui présente les principales conclusions et les idées obtenues lors de l'événement.
Les développeurs peuvent lancer des compétitions d'audit en quelques jours et obtenir des mises à jour en temps réel pendant que la compétition est en cours. Ils sont également plus économiques que la plupart des concours d'audit, offrant des frais 20% moins chers et connectant les développeurs à une communauté plus vaste et plus compétente de chercheurs en sécurité.
Une autre caractéristique notable est le leaderboard, qui permet aux participants de suivre leur performance et de se comparer. De plus, les développeurs peuvent toujours recevoir des récompenses même si un autre chercheur découvre un bug en premier. Le prix est partagé entre tous ceux qui peuvent identifier le même problème, ce qui soulage la pression de se dépêcher et favorise le travail d'équipe.
Récompenses Whitehat
Source: moyen
L'ImmunefiRécompenses Whitehatsont conçus pour célébrer les efforts exceptionnels des whitehats qui ont joué un rôle essentiel dans l'amélioration de la sécurité de Web3. Ces récompenses reconnaissent les individus pour leur signalement responsable de vulnérabilités de sécurité et offrent différentes formes de reconnaissance, telles que des NFTs numériques et des articles de luxe.
Les récompenses suivent une structure hiérarchisée, incitant les pirates à atteindre des objectifs spécifiques, tels que la soumission de rapports éligibles au paiement ou l'atteinte de certains seuils de primes. Les niveaux sont actuellement divisés en plusieurs catégories : le niveau Initiate, pour les white hats qui ont gagné plus de 50 000 $ sur ImmuneFi, et le niveau Elite, pour ceux qui ont gagné plus de 100 000 $. Cependant, d'autres niveaux, tels que le niveau Master (plus de 1 million de dollars de gains) et le niveau Grandmaster (plus de 10 millions de dollars de gains), devraient être annoncés prochainement.
Collection du Temple de la renommée Whitehat
Source: immunefi
Le Hall of Fame des Whitehat est une collection NFT pour les white hats les plus acclamés au monde. Les détenteurs de cette carte du Hall of Fame sont considérés comme les hackers les plus talentueux et importants au monde. Ils reçoivent des NFT sur mesure pour immortaliser leurs contributions à la sécurité de Web3.
Chaque NFT est unique et créé spécifiquement pour chaque rapport de bug important et réussi. Les détenteurs peuvent le conserver gratuitement ou le vendre à des collectionneurs intéressés par la célébration des moments historiques de la sécurité Web3.
Invitation seulement
Source: immunefi
L'ImmuneFiProgramme sur invitation seulementest conçu pour sélectionner uniquement les chercheurs les plus qualifiés pour des projets spécifiques de primes de bugs. Ce processus de sélection prend en compte les exigences techniques et l'écosystème de chaque projet, en veillant à ce que l'expertise des chercheurs soit bien alignée sur les besoins du projet pour une vérification ou une participation à des primes de bugs efficaces.
La caractéristique principale de ce programme est son engagement à maintenir la confidentialité et la discrétion. Les équipes de projet peuvent adapter leurs protocoles pour inclure des accords spécifiques concernant la confidentialité, le contrôle de la visibilité des actifs et les préférences liées à la publication des résultats. Cela garantit que toutes les informations sensibles sont traitées de manière sécurisée, permettant aux projets de travailler avec des experts en sécurité de premier plan tout en respectant leurs normes de confidentialité.
En se concentrant sur les vulnérabilités critiques et les problèmes de sécurité importants, le programme sur invitation réduit efficacement la période pendant laquelle les menaces potentielles peuvent apparaître. Cela conduit à une détection et à une résolution plus rapides des préoccupations en matière de sécurité, améliorant ainsi la sécurité globale du projet blockchain.
Coffres-forts ImmuneFi
Source: immunefi
Les coffres-forts d'ImmuneFi sont conçus pour accroître la transparence et la confiance entre les whitehats et les propriétaires de projets en les aidant à gérer de manière sécurisée les actifs et les paiements de primes de bug bounty. Les projets peuvent déposer et retirer des fonds de leurs coffres-forts, et le solde alloué aux primes est visible par les whitehats. Ce niveau de transparence contribue à renforcer la confiance, car les whitehats seront encouragés à soumettre des rapports de bug de premier ordre, sachant que le projet a suffisamment d'argent pour rémunérer les bugs.
Les projets peuvent configurer leurs coffres-forts en moins de 10 minutes. Après avoir vérifié un rapport de bogue valide, les paiements sont émis directement à partir du coffre-fort du projet, rendant les transactions fluides et sécurisées. Ce système comprend également des fonctionnalités telles que la vérification du portefeuille pour prévenir les erreurs ou les paiements incorrects.
Les Vaults sont actuellement disponibles sur Ethereum et Optimism, et devraient être disponibles sur d'autres chaînes EVM comme Polygon, Gnosis Chain et Arbitrum. Les projets peuvent déposer des stablecoins, de l'ETH et tout autre actif de la liste de tokens d'Uniswap. Ils peuvent également récompenser avec un ou plusieurs actifs dans une seule transaction.
ImmuneFi Safe Harbor
Source: immunefi
ImmuneFi Safe Harbor est un cadre juridique créé par Security Alliance (SEAL) pour permettre aux whitehats de protéger les fonds d'un projet lorsqu'il est attaqué par des blackhats ou des acteurs malveillants. Ce cadre leur permet de récupérer les fonds qui sont en danger lors de telles attaques et de les rediriger en toute sécurité vers un coffre-fort désigné géré par Immunefi. En retour, ces chercheurs peuvent gagner jusqu'à 60% de la récompense critique maximale disponible pour le projet.
Immunefi a également intégré Safe Harbor dans les programmes de prime de bug existants. Safe Harbor utilise également le tableau de bord des rapports de bug existant, de sorte que les projets peuvent utiliser le même système d'alerte d'urgence et le personnel de sécurité avec lequel ils sont à l'aise. En tant que tel, Safe Harbor agit comme une extension des programmes de prime de bug d'ImmuneFi.
Bugs courants trouvés par les hackers Immune Fi
Réentrance
Les vulnérabilités de réentrée se produisent lorsqu’un contrat intelligent peut être appelé plusieurs fois avant la fin de la première exécution. Cela permet aux attaquants d’insérer un code malveillant qui appelle à plusieurs reprises le même contrat, drainant des fonds ou modifiant son état. Un exemple célèbre est le piratage de DAO en 2016, qui a ciblé le premier réseau Ethereum. Pour éviter les problèmes de réentrée, les développeurs peuvent utiliser des protections de réentrée pour empêcher plusieurs appels au cours d’une même opération.
Oracle/Manipulation des prix
Les oracles de prix alimentent des données de marché critiques, telles que les prix des jetons, aux contrats intelligents. Ainsi, la manipulation de l'oracle implique que les attaquants exploitent ces flux de données pour fournir de fausses informations, ce qui entraîne des calculs de prix inexactes. Par exemple, le fait de manipuler l'oracle permet à un attaquant d'augmenter les prix des jetons et de réaliser des bénéfices lors des transactions. Pour prévenir cela, les développeurs utilisent des oracles décentralisés qui agrègent des données provenant de sources multiples.
Contrôle d'accès faible
La plupart des systèmes adoptent des mesures strictes de contrôle d'accès, telles que des autorisations basées sur les rôles et une authentification robuste, pour se protéger contre les accès non autorisés. Ces contrôles garantissent que les utilisateurs et les processus ne sont accordés que les autorisations nécessaires à leurs rôles spécifiques. La documentation des capacités et des limitations de chaque rôle permet d'identifier les vulnérabilités potentielles, ce qui facilite les tests unitaires plus efficaces et la résolution des conflits. Ce processus permet de garantir que le système fonctionne comme prévu, réduisant ainsi le risque de vulnérabilités critiques causées par la négligence ou les erreurs de configuration.
De plus, il est essentiel de limiter l'autorité de chaque rôle. Accorder des autorisations excessives ou s'appuyer trop sur le contrôle centralisé peut causer des dommages importants si un compte ou une clé privée est compromis. La division des rôles en segments plus petits réduira l'impact de ces violations, améliorant ainsi la stabilité du système.
Frontrunning
Le frontrunning se produit lorsqu'un attaquant exploite le caractère public des transactions de la blockchain. Les attaquants observent les transactions en attente dans le mempool (une zone temporaire pour stocker les transactions non exécutées sur la blockchain), puis placent leurs transactions avec des frais de gaz plus élevés pour les exécuter avant la transaction de la victime. Cela est particulièrement courant dans les échanges décentralisés, où le moment peut affecter les résultats des transactions.
Proxy non initialisé
Les contrats de proxy non initialisés se produisent lorsque les variables de stockage au sein d'un contrat de proxy ne sont pas correctement configurées avant utilisation. Ce manque de configuration appropriée peut entraîner des risques de sécurité, car ces variables non initialisées pourraient contenir des données importantes ou influencer les fonctions clés du contrat. Des pirates malveillants pourraient exploiter ces vulnérabilités en manipulant les variables non initialisées pour obtenir un accès non autorisé.
Nouvelles sur ImmuneFi
Dans l'édition d'octobre 2024 de son Rapport sur les pertes en crypto-monnaies, ImmuneFi a partagé des statistiques intéressantes sur les pertes subies par la communauté crypto cette année. Selon le rapport, la communauté crypto a perdu jusqu'à 1 400 073 177 $ à cause de piratages et de rug pulls jusqu'en octobre 2024, pour un total de 179 incidents. Cela représente une baisse d'un pour cent par rapport à octobre 2023, lorsque les pertes s'élevaient à 1 414 641 935 $.
En octobre 2024, la communauté crypto a subi des pertes allant jusqu'à 55 138 600 $ en raison de sept incidents de piratage, sans qu'aucune fraude ne soit signalée. Cela représente une augmentation de 114 % par rapport à octobre 2023, mais une baisse de 56,6 % par rapport à septembre 2024. Les pertes les plus importantes provenaient de Radiant Capital (50 millions de dollars) et de Tapioca DAO (4,4 millions de dollars). Le secteur DeFi a été le seul touché, avec BNB Chain étant le plus ciblé, représentant 50 % des pertes totales. ImmuneFi a versé plus de 100 millions de dollars en primes et a sauvé plus de 25 milliards de dollars en fonds d'utilisateurs.
ImmuneFi est-il un bon investissement ?
ImmuneFi s'est forgé une réputation en tant que programme de prime aux bugs leader dans l'industrie de la crypto. Il propose des programmes de prime aux bugs à portée générale et des solutions sur mesure comme le programme Réservé aux Invités. ImmuneFi est le point de rencontre des hackers whitehat et des propriétaires de projets, aidant ainsi les projets à rester sécurisés. Grâce à son expertise en sécurité et à son approche flexible, ImmuneFi aide les projets à construire des écosystèmes plus sécurisés.
บทความที่เกี่ยวข้อง
Qu'est-ce que Coti ? Tout ce qu'il faut savoir sur l'ICOT
Qu'est-ce que l'USDC ?