Введение в ImmuneFi: ведущая платформа bug bounty в мире
Блокчейн-индустрия не является чужой для атак, в основном, потому что она хранит и защищает миллиарды цифровых активов. Только в октябре было потеряно более 55 миллионов долларов из-за взломов проектов, таких как Radiant Capital и Morpho Labs. Эти взломы направлены на ошибки в исходном коде проекта, ищут уязвимости и задние двери для проникновения.
Признавая необходимость децентрализованного решения для смягчения этой проблемы, Митчелл Амадор основал ImmuneFi для защиты блокчейн-проектов от ошибок, которые могут вызвать проблемы, несмотря на их маленький размер. Таким образом, нам нужно понять, что делает ImmuneFi и как это полезно для блокчейн-сообщества.
Что такое ImmuneFi?
Источник: immunefi
Immunefi - это платформа безопасности, которая защищает проекты Web3, выявляя и устраняя ошибки в блокчейн-системах, смарт-контрактах и децентрализованных приложениях (dApps). Ошибки просто являются недостатками или уязвимостями в коде системы. По сути, ImmuneFi стимулирует хакеров-белых шляп находить и сообщать об ошибках, вознаграждая их в зависимости от серьезности уязвимости.
В дополнение к своим услугам bug bounty, Immunefi предоставляет различные инструменты для повышения безопасности блокчейна. Эти инструменты включают в себя сетевой хостинг, управление процессом рассмотрения отчетов об ошибках и надзор за целыми программами безопасности для различных проектов. Их сервисы смарт-контрактов особенно полезны для проведения обзоров кода и обнаружения уязвимостей, что помогает защититься от злоумышленников. Immunefi также может похвастаться экосистемой, насчитывающей более 35 000 исследователей безопасности, причем более 1 000 из них обнаружили критические ошибки в основной сети.
История ImmuneFi
ImmuneFi была основана Митчелл Амадор, кто запустил платформу 9 декабря 2020 года. Идея ImmuneFi пришла в голову Амадору во время похода по швейцарским Альпам в начале 2020 года, когда он узнал, что другой криптовалютный проект стал жертвой взлома. Этот инцидент подчеркнул насущную необходимость улучшения безопасности в пространствах DeFi и Web3, поскольку уже существующие решения не решали эти уязвимости.
Признавая, что талант для решения этой проблемы существует в сообществе, Амадор понял, что необходима объединяющая платформа, чтобы стимулировать хакеров помогать защищать проекты. Это привело к созданию Immunefi, платформы награды за обнаружение ошибок, посвященной повышению безопасности приложений Web3.
С момента своего создания ImmuneFi завоевал сильную репутацию, сотрудничая с ведущими проектами, такими как Синтетикс, TheGraph, Polygon, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Сеть Bancor, и Chainlink. Сегодня ImmuneFi - ведущая платформа для наград за баги в Web3, обслуживающая более 330 проектов.
Влияние ImmuneFi было значительным, по сообщениям платформы сэкономить более $25 миллиардовв средства пользователей от потенциальных взломов и выплате более 100 миллионов долларов в виде вознаграждений. В настоящее время платформа играет ключевую роль в защите более чем 190 миллиардов долларов активов пользователей, подчеркивая важность безопасности, ориентированной на сообщество, в постоянно изменяющемся мире криптовалют.
Как работает ImmuneFi?
ImmuneFi управляет прозрачной системой награды за баги, поддерживаемой принципом консенсуса proof-of-concept. Proof of concept - это базовый функциональный код, написанный белым хакером, который выявляет недостатки в смарт-контракте или блокчейн-системе. Создается для демонстрации того, как эти недостатки могут быть использованы без причинения проблем в рабочей среде. Таким образом, они служат стандартным способом предоставления доказательств потенциального влияния ошибки на проект. Они также требуются практически всеми программами по наградам за баги на ImmuneFi.
Деятельность ImmuneFi охватывает как белых хакеров, так и владельцев проектов. Белые хакеры - это этические хакеры, которые выявляют и устраняют уязвимости в системах и программном обеспечении до того, как их могут использовать злоумышленники. Такие злоумышленники известны как черные хакеры, и хотя они занимаются незаконной деятельностью ради личной выгоды, белые хакеры действуют в рамках закона и часто сотрудничают с организациями для повышения их безопасности.
С одной стороны, белые хакеры (специалисты по кибербезопасности, которые выявляют и устраняют уязвимости в системе) исследуют выбор наград за обнаружение ошибок стоимостью более 162 миллиона долларов от известных проектов в пространстве Web3. После того, как они находят программу, соответствующую их навыкам, участники могут ознакомиться с требованиями награды и изучить конкретный код, подлежащий проверке. Однако только ошибки, обнаруженные в коде, указанном в границах награды, будут вознаграждены.
После обнаружения ошибки хакер-белая шляпа должен создать учетную запись и отправить ошибку через Платформа ImmuneFi для обнаружения ошибок. Как только команда ImmuneFi подтвердит действительность ошибки, они будут работать вместе с охотником за наградами и клиентом, чтобы решить проблему, после чего будут производиться платежи.
Со стороны владельцев проекта им придется заполнить форму внедрения программы поощрения за ошибки, после чего они получат опросник. ImmuneFi затем использует ответы на опросник для разработки программы поощрения за ошибки. Затем проект отправляет черновик программы поощрения за ошибки клиенту для рассмотрения. Если все хорошо, вознаграждение передается специалисту по запуску, который будет работать с маркетинговой командой клиента, чтобы определить лучшее время запуска и другие маркетинговые детали.
Как клиентский сервис, ImmuneFi пишет обзоры исправления ошибок для уязвимостей, чтобы напомнить большому крипто-сообществу о приверженности проекта к безопасности. Они также предоставляют помощь в PR и советы по эффективному коммуницированию уязвимостей патчей.
ImmuneFi также использует система классификации серьезностидля эффективного управления отчетами о багах. Эта система категоризирует уязвимости на основе их потенциального влияния на средства пользователей, функциональность сети и общую безопасность протокола. Каждому проекту в сети ImmuneFi назначается уровень серьезности, который можно найти в разделе "Награды по уровню угроз" на странице программы наград за баги проекта.
Последняя версия Система классификации уязвимостей Immunefi (v2.3)использует четырехуровневую шкалу: Критический, Высокий, Средний и Низкий. Критические уязвимости могут привести к серьезным последствиям, таким как полное отключение сети или значительная кража средств, в то время как более низкие категории сосредоточены на менее серьезных проблемах, таких как незначительные ошибки в смарт-контрактах.
Система также определяет области, считающиеся вне рамок, включая уязвимости в тестовых файлах, атаки, связанные с управлением, и экономические риски за пределами юрисдикции ImmuneFi. Эта структура помогает разработчикам улучшить безопасность своего проекта, предоставляя стандартные руководящие принципы для классификации и устранения уязвимостей. Он также определяет весь запрещенный контент в рамках программ награды за баги, чтобы обеспечить этические и безопасные практики тестирования безопасности.
Основные особенности ImmuneFi
ImmuneFi - дом для нескольких интересных функций, включая:
Профили ImmuneFi
Источник: immunefi
Профили ImmuneFiпомогать белым шляпам продемонстрировать свои достижения миру, включая уязвимости, о которых они сообщили, свои заработки, значки и награды, которые они получили, и свою позицию в рейтинге ImmuneFi.
Пока это первая версия, профили будут доступны всем белым хакерам с хотя бы одним оплаченным отчетом на ImmuneFi. Однако в следующих обновлениях доступ к профилям получит вся исследовательская община. В новой версии также будут добавлены новые функции, такие как Лента вкладов, которая отображает отчеты со временем, чтобы пользователи могли отслеживать свое влияние.
У ImmuneFi есть шесть значков, которые будут прикреплены к профилю участника. Они включают в себя:
- Один из нас: Этот значок присуждается при завершении профиля на Immunefi, включая все ваши ссылки на социальные сети.
- Купили BMW: Когда вы заработали более $100 000 на ImmuneFi.
- Там снаружи трава, вы знаете: когда вы заработали более 1 000 000 долларов.
- Друзья в высоких кругах: После того как вы связали свой профиль Immunefi с вашим био в Twitter (это может занять до 24 часов, чтобы отобразиться, но обычно регистрируется за 10 минут).
- Пятерка: После получения пяти наград на Immunefi.
- Rocketman: Когда вы обнаружите действительную награду от Boost.
В будущих обновлениях будут добавлены дополнительные значки, карточки усиления и достижения.
Аудит конкурсы
Источник: immunefi
An Аудит конкуренцияЭто обзор кода с ограниченным сроком действия и предназначенным наградным фондом для белых шляп. Во время этих мероприятий этические хакеры сообщают о уязвимостях безопасности, и награды распределяются в зависимости от влияния и серьезности их открытий, определенных системой оценки Immunefi.
Immunefi сотрудничает с каждым блокчейн-проектом для настройки конкурса, включая определение размера фонда наград и продолжительности мероприятия, а также предоставляет экспертную маркетинговую поддержку для привлечения искусных исследователей.
По завершении конкурса участников вознаграждают за их вклад, а проекты получают исчерпывающий сводный отчет, который описывает основные результаты и полученные во время мероприятия идеи.
Разработчики могут запустить аудиторские соревнования в течение нескольких дней и получать обновления в режиме реального времени во время проведения соревнования. Они также экономичнее большинства аудиторских конкурсов, предлагая на 20% более низкие комиссии и связывая разработчиков с более широким и опытным сообществом исследователей безопасности.
Еще одной заметной особенностью является таблица лидеров, которая позволяет участникам отслеживать свои достижения и сравнивать их. Более того, разработчики все равно могут получать вознаграждение, даже если другой исследователь первым обнаружил ошибку. Приз делится между всеми, кто может выявить ту же проблему, тем самым снимая давление спешки и способствуя сотрудничеству.
Награды Whitehat
Источник: средний
Immunefiнаграды Whitehatпредназначены для отметки выдающихся усилий белых хакеров, которые сыграли важную роль в повышении безопасности Web3. Эти награды признают отдельных лиц за ответственное сообщение о уязвимостях безопасности и предлагают различные формы признания, такие как цифровые NFT и роскошные товары.
Награды следуют иерархической структуре, стимулируя хакеров достигать определенных целей, таких как подача отчетов, квалифицирующихся для выплаты, или достижение определенных порогов вознаграждения. На данный момент уровни разделены на уровень Initiate для белых хакеров, заработавших свыше $50,000 на ImmuneFi, и уровень Elite для тех, кто заработал свыше $100,000. Однако ожидается, что в ближайшее время будут объявлены дополнительные уровни, такие как уровень Master (свыше $1 миллиона заработка) и уровень Grandmaster (свыше $10 миллионов заработка).
Коллекция Зала Славы Белых Хакеров
Источник: immunefi
Зал славы Whitehat - это коллекция NFT для самых известных белых хакеров в мире. Владельцы этой карты Зала славы считаются самыми талантливыми и важными хакерами мира. Они получают специально разработанные NFT, чтобы увековечить свой вклад в безопасность Web3.
Каждый NFT уникален и чеканится специально для каждого значительного и успешного отчета об ошибке. Владельцы могут бесплатно сохранить его или продать коллекционерам, заинтересованным в отмечании исторических моментов в безопасности Web3.
По приглашениям
Источник: immunefi
ImmuneFiПрограмма только по приглашениямразработана для выбора только наиболее квалифицированных исследователей для конкретных проектов по поиску уязвимостей. В этом процессе отбора учитываются технические требования и экосистема каждого проекта, обеспечивая соответствие экспертизы исследователей потребностям проекта для эффективного аудита или участия в программе награды за обнаружение ошибок.
Основной особенностью этой программы является приверженность к обеспечению конфиденциальности и защиты данных. Команды проектов могут настраивать свои протоколы, чтобы включить конкретные соглашения относительно конфиденциальности, управления видимостью активов и предпочтений, связанных с публикацией результатов. Это гарантирует, что любая чувствительная информация обрабатывается безопасно, позволяя проектам работать с экспертами по безопасности высшего уровня, сохраняя свои стандарты конфиденциальности.
Концентрируясь на критических уязвимостях и значительных проблемах безопасности, программа Invite-Only эффективно сокращает временной интервал, в течение которого могут возникнуть потенциальные угрозы. Это позволяет более быстро обнаруживать и устранять проблемы безопасности, в конечном итоге повышая общую безопасность блокчейн-проекта.
Хранилища ImmuneFi
Источник: immunefi
Хранилища ImmuneFi предназначены для повышения прозрачности и доверия между белыми хакерами и владельцами проектов, помогая им безопасно управлять активами и выплатами за награды за обнаружение ошибок. Проекты могут вносить и снимать средства со своих хранилищ, и остаток, выделенный на награды, виден белым хакерам. Этот уровень прозрачности помогает создать доверие, так как белым хакерам будет поощряться предоставление отчетов о высшего уровня, так как они уверены, что у проекта достаточно денег для оплаты за обнаруженные ошибки.
Проекты могут настроить свои хранилища менее чем за 10 минут. После проверки действительного отчета об ошибке выплаты выдаются непосредственно из хранилища проекта, что делает транзакции бесшовными и безопасными. Эта система также включает функции, такие как проверка кошелька, чтобы предотвратить ошибки или неправильные выплаты.
Хранилища в настоящее время доступны на Ethereum и Optimism, и ожидается на других EVM-цепях, таких как Polygon, Gnosis Chain и Arbitrum. Проекты могут вносить стабильные монеты, ETH и любой другой актив из списка токенов Uniswap. Они также могут выплачивать вознаграждения одним или несколькими активами в одной транзакции.
ImmuneFi Safe Harbor
Источник: immunefi
ImmuneFi Safe Harbor - это правовая структура, созданная Security Alliance (SEAL), чтобы позволить белым хакерам защищать средства проекта во время атак со стороны черных хакеров или злонамеренных акторов. Эта структура позволяет им восстановить средства, находящиеся под угрозой во время таких атак, и безопасно перенаправить их обратно в определенное хранилище, управляемое Immunefi. В замен эти исследователи могут заработать до 60% максимальной критической награды, доступной для проекта.
Immunefi также интегрировал Safe Harbor в существующие программы награды за обнаружение уязвимостей. Safe Harbor также использует существующую панель управления отчетами о багах, поэтому проекты могут использовать ту же систему экстренного оповещения и технический персонал, с которыми им удобно. Таким образом, Safe Harbor выступает в качестве расширения программы награды за обнаружение уязвимостей ImmuneFi.
Общие ошибки, обнаруженные хакерами Immune Fi
Рекурсия
Уязвимости реентрансии возникают, когда смарт-контракт может быть вызван несколько раз до завершения первого выполнения. Это позволяет злоумышленникам вставлять вредоносный код, который многократно вызывает тот же контракт, освобождая средства или изменяя его состояние. Известным примером является взлом DAO 2016 года, который нацелился на раннюю сеть Ethereum. Чтобы избежать проблем с реентрансией, разработчики могут использовать защиты от реентрансии, чтобы предотвратить множественные вызовы во время одной операции.
Oracle/Манипуляция ценами
Ценовые оракулы предоставляют критические рыночные данные, такие как цены на токены, для смарт-контрактов. Таким образом, манипуляция оракулом включает в себя злоумышленники, злоупотребляющие этими потоками данных, чтобы предоставить ложную информацию, ведущую к неточным расчетам цен. Например, подделка оракула позволяет злоумышленнику завышать цены на токены и получать прибыль во время сделок. Чтобы предотвратить это, разработчики используют децентрализованные оракулы, которые агрегируют данные из нескольких источников.
Недостаточный контроль доступа
Большинство систем принимают строгие меры контроля доступа, такие как разрешения на основе ролей и надежная аутентификация, чтобы защитить от несанкционированного доступа. Эти контроли обеспечивают предоставление пользователям и процессам только необходимых разрешений для их конкретных ролей. Документирование возможностей и ограничений каждой роли помогает выявить потенциальные уязвимости, обеспечивая более эффективное модульное тестирование и разрешение конфликтов. Этот процесс помогает обеспечить работу системы по назначению, снижая риск возникновения критических уязвимостей, вызванных небрежностью или неправильной конфигурацией.
Кроме того, важно ограничить полномочия каждой роли. Предоставление избыточных разрешений или слишком сильная зависимость от централизованного контроля может привести к значительным последствиям, если учетная запись или закрытый ключ подвергнутся компрометации. Разделение ролей на более мелкие сегменты снизит воздействие таких нарушений и улучшит стабильность системы.
Фронтранинг
Фронтраннинг происходит, когда злоумышленник использует публичный характер транзакций в блокчейне. Злоумышленники наблюдают за ожидающими транзакциями в памяти (временной области для хранения невыполненных транзакций в блокчейне), затем размещают свои транзакции с более высокими комиссиями, чтобы выполнить их раньше транзакции жертвы. Это особенно распространено на децентрализованных биржах, где время может влиять на результаты сделок.
Неинициализированный прокси
Неинициализированные прокси-контракты возникают, когда хранимые переменные в прокси-контракте не настроены правильно перед использованием. Этот недостаток правильной конфигурации может привести к рискам безопасности, поскольку эти неинициализированные переменные могут содержать важные данные или влиять на ключевые функции контракта. Злоумышленники могут использовать эти уязвимости, манипулируя неинициализированными переменными, чтобы получить несанкционированный доступ.
Новости о ImmuneFi
В октябре 2024 года в его изданииОтчет о потерях криптовалютыImmuneFi поделился интересной статистикой о потерях, с которыми столкнулось криптосообщество в этом году. Согласно отчету, криптосообщество потеряло до $1,400,073,177 в результате хакерских атак и rug pulls по состоянию на октябрь 2024 года в 179 случаях. Это на один процент меньше, чем в октябре 2023 года, когда убытки составляли до $1,414,641,935.
В октябре 2024 года криптосообщество потерпело убытки до $55,138,600 из-за взломов в семи инцидентах, при этом не было сообщено о мошенничестве. Это ознаменовало увеличение на 114% по сравнению с октябрем 2023 года, но снижение на 56.6% по сравнению с сентябрем 2024 года. Самые значительные потери произошли у Radiant Capital ($50 миллионов) и Tapioca DAO ($4.4 миллиона). DeFi был единственным затронутым сектором, причем BNB Chain был самым целевым, что составило 50% от общих потерь. ImmuneFi выплатил более $100 миллионов в наградах и спас более $25 миллиардов пользовательских средств.
Является ли ImmuneFi хорошим инвестиционным вариантом?
ImmuneFi зарекомендовала себя как ведущая программа наград за баги в криптоиндустрии. Она предлагает программы наград за общий спектр уязвимостей и индивидуальные решения, такие как программа только по приглашениям. ImmuneFi является точкой встречи для хакеров-белых и владельцев проектов, помогая проектам оставаться защищенными. Благодаря своему опыту в области безопасности и гибкому подходу, ImmuneFi помогает проектам создавать более безопасные экосистемы.
Related articles
Что такое Tronscan и как Вы можете его использовать?
Что такое Neiro? Все, что вам нужно знать о NEIROETH
Что такое индикатор дельты кумулятивного объема (CVD)?
Введение в ImmuneFi: ведущая платформа bug bounty в мире
Что такое ImmuneFi?
Как работает ImmuneFi?
Основные особенности ImmuneFi
Сейфы ImmuneFi
ImmuneFi Safe Harbor
Распространенные ошибки, найденные хакерами Immune Fi
Новости о ImmuneFi
Является ли ImmuneFi хорошим инвестиционным вариантом?
Блокчейн-индустрия не является чужой для атак, в основном, потому что она хранит и защищает миллиарды цифровых активов. Только в октябре было потеряно более 55 миллионов долларов из-за взломов проектов, таких как Radiant Capital и Morpho Labs. Эти взломы направлены на ошибки в исходном коде проекта, ищут уязвимости и задние двери для проникновения.
Признавая необходимость децентрализованного решения для смягчения этой проблемы, Митчелл Амадор основал ImmuneFi для защиты блокчейн-проектов от ошибок, которые могут вызвать проблемы, несмотря на их маленький размер. Таким образом, нам нужно понять, что делает ImmuneFi и как это полезно для блокчейн-сообщества.
Что такое ImmuneFi?
Источник: immunefi
Immunefi - это платформа безопасности, которая защищает проекты Web3, выявляя и устраняя ошибки в блокчейн-системах, смарт-контрактах и децентрализованных приложениях (dApps). Ошибки просто являются недостатками или уязвимостями в коде системы. По сути, ImmuneFi стимулирует хакеров-белых шляп находить и сообщать об ошибках, вознаграждая их в зависимости от серьезности уязвимости.
В дополнение к своим услугам bug bounty, Immunefi предоставляет различные инструменты для повышения безопасности блокчейна. Эти инструменты включают в себя сетевой хостинг, управление процессом рассмотрения отчетов об ошибках и надзор за целыми программами безопасности для различных проектов. Их сервисы смарт-контрактов особенно полезны для проведения обзоров кода и обнаружения уязвимостей, что помогает защититься от злоумышленников. Immunefi также может похвастаться экосистемой, насчитывающей более 35 000 исследователей безопасности, причем более 1 000 из них обнаружили критические ошибки в основной сети.
История ImmuneFi
ImmuneFi была основана Митчелл Амадор, кто запустил платформу 9 декабря 2020 года. Идея ImmuneFi пришла в голову Амадору во время похода по швейцарским Альпам в начале 2020 года, когда он узнал, что другой криптовалютный проект стал жертвой взлома. Этот инцидент подчеркнул насущную необходимость улучшения безопасности в пространствах DeFi и Web3, поскольку уже существующие решения не решали эти уязвимости.
Признавая, что талант для решения этой проблемы существует в сообществе, Амадор понял, что необходима объединяющая платформа, чтобы стимулировать хакеров помогать защищать проекты. Это привело к созданию Immunefi, платформы награды за обнаружение ошибок, посвященной повышению безопасности приложений Web3.
С момента своего создания ImmuneFi завоевал сильную репутацию, сотрудничая с ведущими проектами, такими как Синтетикс, TheGraph, Polygon, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Сеть Bancor, и Chainlink. Сегодня ImmuneFi - ведущая платформа для наград за баги в Web3, обслуживающая более 330 проектов.
Влияние ImmuneFi было значительным, по сообщениям платформы сэкономить более $25 миллиардовв средства пользователей от потенциальных взломов и выплате более 100 миллионов долларов в виде вознаграждений. В настоящее время платформа играет ключевую роль в защите более чем 190 миллиардов долларов активов пользователей, подчеркивая важность безопасности, ориентированной на сообщество, в постоянно изменяющемся мире криптовалют.
Как работает ImmuneFi?
ImmuneFi управляет прозрачной системой награды за баги, поддерживаемой принципом консенсуса proof-of-concept. Proof of concept - это базовый функциональный код, написанный белым хакером, который выявляет недостатки в смарт-контракте или блокчейн-системе. Создается для демонстрации того, как эти недостатки могут быть использованы без причинения проблем в рабочей среде. Таким образом, они служат стандартным способом предоставления доказательств потенциального влияния ошибки на проект. Они также требуются практически всеми программами по наградам за баги на ImmuneFi.
Деятельность ImmuneFi охватывает как белых хакеров, так и владельцев проектов. Белые хакеры - это этические хакеры, которые выявляют и устраняют уязвимости в системах и программном обеспечении до того, как их могут использовать злоумышленники. Такие злоумышленники известны как черные хакеры, и хотя они занимаются незаконной деятельностью ради личной выгоды, белые хакеры действуют в рамках закона и часто сотрудничают с организациями для повышения их безопасности.
С одной стороны, белые хакеры (специалисты по кибербезопасности, которые выявляют и устраняют уязвимости в системе) исследуют выбор наград за обнаружение ошибок стоимостью более 162 миллиона долларов от известных проектов в пространстве Web3. После того, как они находят программу, соответствующую их навыкам, участники могут ознакомиться с требованиями награды и изучить конкретный код, подлежащий проверке. Однако только ошибки, обнаруженные в коде, указанном в границах награды, будут вознаграждены.
После обнаружения ошибки хакер-белая шляпа должен создать учетную запись и отправить ошибку через Платформа ImmuneFi для обнаружения ошибок. Как только команда ImmuneFi подтвердит действительность ошибки, они будут работать вместе с охотником за наградами и клиентом, чтобы решить проблему, после чего будут производиться платежи.
Со стороны владельцев проекта им придется заполнить форму внедрения программы поощрения за ошибки, после чего они получат опросник. ImmuneFi затем использует ответы на опросник для разработки программы поощрения за ошибки. Затем проект отправляет черновик программы поощрения за ошибки клиенту для рассмотрения. Если все хорошо, вознаграждение передается специалисту по запуску, который будет работать с маркетинговой командой клиента, чтобы определить лучшее время запуска и другие маркетинговые детали.
Как клиентский сервис, ImmuneFi пишет обзоры исправления ошибок для уязвимостей, чтобы напомнить большому крипто-сообществу о приверженности проекта к безопасности. Они также предоставляют помощь в PR и советы по эффективному коммуницированию уязвимостей патчей.
ImmuneFi также использует система классификации серьезностидля эффективного управления отчетами о багах. Эта система категоризирует уязвимости на основе их потенциального влияния на средства пользователей, функциональность сети и общую безопасность протокола. Каждому проекту в сети ImmuneFi назначается уровень серьезности, который можно найти в разделе "Награды по уровню угроз" на странице программы наград за баги проекта.
Последняя версия Система классификации уязвимостей Immunefi (v2.3)использует четырехуровневую шкалу: Критический, Высокий, Средний и Низкий. Критические уязвимости могут привести к серьезным последствиям, таким как полное отключение сети или значительная кража средств, в то время как более низкие категории сосредоточены на менее серьезных проблемах, таких как незначительные ошибки в смарт-контрактах.
Система также определяет области, считающиеся вне рамок, включая уязвимости в тестовых файлах, атаки, связанные с управлением, и экономические риски за пределами юрисдикции ImmuneFi. Эта структура помогает разработчикам улучшить безопасность своего проекта, предоставляя стандартные руководящие принципы для классификации и устранения уязвимостей. Он также определяет весь запрещенный контент в рамках программ награды за баги, чтобы обеспечить этические и безопасные практики тестирования безопасности.
Основные особенности ImmuneFi
ImmuneFi - дом для нескольких интересных функций, включая:
Профили ImmuneFi
Источник: immunefi
Профили ImmuneFiпомогать белым шляпам продемонстрировать свои достижения миру, включая уязвимости, о которых они сообщили, свои заработки, значки и награды, которые они получили, и свою позицию в рейтинге ImmuneFi.
Пока это первая версия, профили будут доступны всем белым хакерам с хотя бы одним оплаченным отчетом на ImmuneFi. Однако в следующих обновлениях доступ к профилям получит вся исследовательская община. В новой версии также будут добавлены новые функции, такие как Лента вкладов, которая отображает отчеты со временем, чтобы пользователи могли отслеживать свое влияние.
У ImmuneFi есть шесть значков, которые будут прикреплены к профилю участника. Они включают в себя:
- Один из нас: Этот значок присуждается при завершении профиля на Immunefi, включая все ваши ссылки на социальные сети.
- Купили BMW: Когда вы заработали более $100 000 на ImmuneFi.
- Там снаружи трава, вы знаете: когда вы заработали более 1 000 000 долларов.
- Друзья в высоких кругах: После того как вы связали свой профиль Immunefi с вашим био в Twitter (это может занять до 24 часов, чтобы отобразиться, но обычно регистрируется за 10 минут).
- Пятерка: После получения пяти наград на Immunefi.
- Rocketman: Когда вы обнаружите действительную награду от Boost.
В будущих обновлениях будут добавлены дополнительные значки, карточки усиления и достижения.
Аудит конкурсы
Источник: immunefi
An Аудит конкуренцияЭто обзор кода с ограниченным сроком действия и предназначенным наградным фондом для белых шляп. Во время этих мероприятий этические хакеры сообщают о уязвимостях безопасности, и награды распределяются в зависимости от влияния и серьезности их открытий, определенных системой оценки Immunefi.
Immunefi сотрудничает с каждым блокчейн-проектом для настройки конкурса, включая определение размера фонда наград и продолжительности мероприятия, а также предоставляет экспертную маркетинговую поддержку для привлечения искусных исследователей.
По завершении конкурса участников вознаграждают за их вклад, а проекты получают исчерпывающий сводный отчет, который описывает основные результаты и полученные во время мероприятия идеи.
Разработчики могут запустить аудиторские соревнования в течение нескольких дней и получать обновления в режиме реального времени во время проведения соревнования. Они также экономичнее большинства аудиторских конкурсов, предлагая на 20% более низкие комиссии и связывая разработчиков с более широким и опытным сообществом исследователей безопасности.
Еще одной заметной особенностью является таблица лидеров, которая позволяет участникам отслеживать свои достижения и сравнивать их. Более того, разработчики все равно могут получать вознаграждение, даже если другой исследователь первым обнаружил ошибку. Приз делится между всеми, кто может выявить ту же проблему, тем самым снимая давление спешки и способствуя сотрудничеству.
Награды Whitehat
Источник: средний
Immunefiнаграды Whitehatпредназначены для отметки выдающихся усилий белых хакеров, которые сыграли важную роль в повышении безопасности Web3. Эти награды признают отдельных лиц за ответственное сообщение о уязвимостях безопасности и предлагают различные формы признания, такие как цифровые NFT и роскошные товары.
Награды следуют иерархической структуре, стимулируя хакеров достигать определенных целей, таких как подача отчетов, квалифицирующихся для выплаты, или достижение определенных порогов вознаграждения. На данный момент уровни разделены на уровень Initiate для белых хакеров, заработавших свыше $50,000 на ImmuneFi, и уровень Elite для тех, кто заработал свыше $100,000. Однако ожидается, что в ближайшее время будут объявлены дополнительные уровни, такие как уровень Master (свыше $1 миллиона заработка) и уровень Grandmaster (свыше $10 миллионов заработка).
Коллекция Зала Славы Белых Хакеров
Источник: immunefi
Зал славы Whitehat - это коллекция NFT для самых известных белых хакеров в мире. Владельцы этой карты Зала славы считаются самыми талантливыми и важными хакерами мира. Они получают специально разработанные NFT, чтобы увековечить свой вклад в безопасность Web3.
Каждый NFT уникален и чеканится специально для каждого значительного и успешного отчета об ошибке. Владельцы могут бесплатно сохранить его или продать коллекционерам, заинтересованным в отмечании исторических моментов в безопасности Web3.
По приглашениям
Источник: immunefi
ImmuneFiПрограмма только по приглашениямразработана для выбора только наиболее квалифицированных исследователей для конкретных проектов по поиску уязвимостей. В этом процессе отбора учитываются технические требования и экосистема каждого проекта, обеспечивая соответствие экспертизы исследователей потребностям проекта для эффективного аудита или участия в программе награды за обнаружение ошибок.
Основной особенностью этой программы является приверженность к обеспечению конфиденциальности и защиты данных. Команды проектов могут настраивать свои протоколы, чтобы включить конкретные соглашения относительно конфиденциальности, управления видимостью активов и предпочтений, связанных с публикацией результатов. Это гарантирует, что любая чувствительная информация обрабатывается безопасно, позволяя проектам работать с экспертами по безопасности высшего уровня, сохраняя свои стандарты конфиденциальности.
Концентрируясь на критических уязвимостях и значительных проблемах безопасности, программа Invite-Only эффективно сокращает временной интервал, в течение которого могут возникнуть потенциальные угрозы. Это позволяет более быстро обнаруживать и устранять проблемы безопасности, в конечном итоге повышая общую безопасность блокчейн-проекта.
Хранилища ImmuneFi
Источник: immunefi
Хранилища ImmuneFi предназначены для повышения прозрачности и доверия между белыми хакерами и владельцами проектов, помогая им безопасно управлять активами и выплатами за награды за обнаружение ошибок. Проекты могут вносить и снимать средства со своих хранилищ, и остаток, выделенный на награды, виден белым хакерам. Этот уровень прозрачности помогает создать доверие, так как белым хакерам будет поощряться предоставление отчетов о высшего уровня, так как они уверены, что у проекта достаточно денег для оплаты за обнаруженные ошибки.
Проекты могут настроить свои хранилища менее чем за 10 минут. После проверки действительного отчета об ошибке выплаты выдаются непосредственно из хранилища проекта, что делает транзакции бесшовными и безопасными. Эта система также включает функции, такие как проверка кошелька, чтобы предотвратить ошибки или неправильные выплаты.
Хранилища в настоящее время доступны на Ethereum и Optimism, и ожидается на других EVM-цепях, таких как Polygon, Gnosis Chain и Arbitrum. Проекты могут вносить стабильные монеты, ETH и любой другой актив из списка токенов Uniswap. Они также могут выплачивать вознаграждения одним или несколькими активами в одной транзакции.
ImmuneFi Safe Harbor
Источник: immunefi
ImmuneFi Safe Harbor - это правовая структура, созданная Security Alliance (SEAL), чтобы позволить белым хакерам защищать средства проекта во время атак со стороны черных хакеров или злонамеренных акторов. Эта структура позволяет им восстановить средства, находящиеся под угрозой во время таких атак, и безопасно перенаправить их обратно в определенное хранилище, управляемое Immunefi. В замен эти исследователи могут заработать до 60% максимальной критической награды, доступной для проекта.
Immunefi также интегрировал Safe Harbor в существующие программы награды за обнаружение уязвимостей. Safe Harbor также использует существующую панель управления отчетами о багах, поэтому проекты могут использовать ту же систему экстренного оповещения и технический персонал, с которыми им удобно. Таким образом, Safe Harbor выступает в качестве расширения программы награды за обнаружение уязвимостей ImmuneFi.
Общие ошибки, обнаруженные хакерами Immune Fi
Рекурсия
Уязвимости реентрансии возникают, когда смарт-контракт может быть вызван несколько раз до завершения первого выполнения. Это позволяет злоумышленникам вставлять вредоносный код, который многократно вызывает тот же контракт, освобождая средства или изменяя его состояние. Известным примером является взлом DAO 2016 года, который нацелился на раннюю сеть Ethereum. Чтобы избежать проблем с реентрансией, разработчики могут использовать защиты от реентрансии, чтобы предотвратить множественные вызовы во время одной операции.
Oracle/Манипуляция ценами
Ценовые оракулы предоставляют критические рыночные данные, такие как цены на токены, для смарт-контрактов. Таким образом, манипуляция оракулом включает в себя злоумышленники, злоупотребляющие этими потоками данных, чтобы предоставить ложную информацию, ведущую к неточным расчетам цен. Например, подделка оракула позволяет злоумышленнику завышать цены на токены и получать прибыль во время сделок. Чтобы предотвратить это, разработчики используют децентрализованные оракулы, которые агрегируют данные из нескольких источников.
Недостаточный контроль доступа
Большинство систем принимают строгие меры контроля доступа, такие как разрешения на основе ролей и надежная аутентификация, чтобы защитить от несанкционированного доступа. Эти контроли обеспечивают предоставление пользователям и процессам только необходимых разрешений для их конкретных ролей. Документирование возможностей и ограничений каждой роли помогает выявить потенциальные уязвимости, обеспечивая более эффективное модульное тестирование и разрешение конфликтов. Этот процесс помогает обеспечить работу системы по назначению, снижая риск возникновения критических уязвимостей, вызванных небрежностью или неправильной конфигурацией.
Кроме того, важно ограничить полномочия каждой роли. Предоставление избыточных разрешений или слишком сильная зависимость от централизованного контроля может привести к значительным последствиям, если учетная запись или закрытый ключ подвергнутся компрометации. Разделение ролей на более мелкие сегменты снизит воздействие таких нарушений и улучшит стабильность системы.
Фронтранинг
Фронтраннинг происходит, когда злоумышленник использует публичный характер транзакций в блокчейне. Злоумышленники наблюдают за ожидающими транзакциями в памяти (временной области для хранения невыполненных транзакций в блокчейне), затем размещают свои транзакции с более высокими комиссиями, чтобы выполнить их раньше транзакции жертвы. Это особенно распространено на децентрализованных биржах, где время может влиять на результаты сделок.
Неинициализированный прокси
Неинициализированные прокси-контракты возникают, когда хранимые переменные в прокси-контракте не настроены правильно перед использованием. Этот недостаток правильной конфигурации может привести к рискам безопасности, поскольку эти неинициализированные переменные могут содержать важные данные или влиять на ключевые функции контракта. Злоумышленники могут использовать эти уязвимости, манипулируя неинициализированными переменными, чтобы получить несанкционированный доступ.
Новости о ImmuneFi
В октябре 2024 года в его изданииОтчет о потерях криптовалютыImmuneFi поделился интересной статистикой о потерях, с которыми столкнулось криптосообщество в этом году. Согласно отчету, криптосообщество потеряло до $1,400,073,177 в результате хакерских атак и rug pulls по состоянию на октябрь 2024 года в 179 случаях. Это на один процент меньше, чем в октябре 2023 года, когда убытки составляли до $1,414,641,935.
В октябре 2024 года криптосообщество потерпело убытки до $55,138,600 из-за взломов в семи инцидентах, при этом не было сообщено о мошенничестве. Это ознаменовало увеличение на 114% по сравнению с октябрем 2023 года, но снижение на 56.6% по сравнению с сентябрем 2024 года. Самые значительные потери произошли у Radiant Capital ($50 миллионов) и Tapioca DAO ($4.4 миллиона). DeFi был единственным затронутым сектором, причем BNB Chain был самым целевым, что составило 50% от общих потерь. ImmuneFi выплатил более $100 миллионов в наградах и спас более $25 миллиардов пользовательских средств.
Является ли ImmuneFi хорошим инвестиционным вариантом?
ImmuneFi зарекомендовала себя как ведущая программа наград за баги в криптоиндустрии. Она предлагает программы наград за общий спектр уязвимостей и индивидуальные решения, такие как программа только по приглашениям. ImmuneFi является точкой встречи для хакеров-белых и владельцев проектов, помогая проектам оставаться защищенными. Благодаря своему опыту в области безопасности и гибкому подходу, ImmuneFi помогает проектам создавать более безопасные экосистемы.
Related articles
Что такое Tronscan и как Вы можете его использовать?
Что такое Neiro? Все, что вам нужно знать о NEIROETH