Pengenalan ImmuneFi: Platform Bug Bounty Utama di Dunia
Industri blockchain tidak asing dengan serangan, terutama karena menyimpan dan melindungi miliaran aset digital. Lebih dari $55 juta hilang hanya pada bulan Oktober akibat peretasan pada proyek-proyek seperti Radiant Capital dan Morpho Labs. Serangan ini menargetkan bug dalam kode proyek asli, mencari celah dan pintu belakang untuk meretas.
Mengakui kebutuhan akan solusi terdesentralisasi untuk mengurangi hal ini, Mitchell Amador mendirikan ImmuneFi untuk melindungi proyek blockchain dari bug yang dapat menyebabkan masalah, tidak peduli sekecil apa pun. Oleh karena itu, kita perlu memahami apa yang dilakukan ImmuneFi dan bagaimana manfaatnya bagi komunitas blockchain.
Apa itu ImmuneFi?
Sumber: immunefi
Immunefi adalah platform keamanan yang melindungi proyek Web3 dengan mengidentifikasi dan menangani bug dalam sistem blockchain, kontrak pintar, dan aplikasi terdesentralisasi (dApps). Bug hanyalah kelemahan atau kerentanan dalam kode sistem. Pada dasarnya, ImmuneFi memberikan insentif kepada peretas topi putih untuk menemukan dan melaporkan bug serta memberi imbalan kepada mereka berdasarkan tingkat keparahan kerentanan.
Selain layanan bug bounty-nya, Immunefi menyediakan berbagai alat untuk meningkatkan keamanan blockchain. Alat-alat ini termasuk hosting jaringan, manajemen proses triase untuk laporan bug, dan pengawasan program keamanan keseluruhan untuk proyek-proyek yang berbeda. Layanan kontrak pintar mereka sangat berguna untuk melakukan peninjauan kode dan mendeteksi kerentanan, yang membantu melindungi dari pelaku jahat. Immunefi juga bangga memiliki ekosistem lebih dari 35.000 peneliti keamanan, dengan lebih dari 1.000 di antaranya telah menemukan bug-bug kritis di mainnet.
Sejarah ImmuneFi
ImmuneFi didirikan olehMitchell Amador, yang diluncurkan platform pada 9 Desember 2020. Ide untuk ImmuneFi muncul saat Amador sedang melakukan perjalanan mendaki di Pegunungan Alpen Swiss pada awal 2020, ketika dia menemukan bahwa proyek cryptocurrency yang berbeda telah menjadi korban serangan peretasan. Insiden ini menyoroti kebutuhan mendesak untuk meningkatkan keamanan di ruang DeFi dan Web3, karena tidak ada solusi yang ada yang mengatasi kerentanan ini.
Menyadari bahwa bakat untuk mengatasi masalah ini ada di dalam komunitas, Amador menyadari bahwa platform penyatuan diperlukan untuk memberikan insentif kepada peretas untuk membantu melindungi proyek-proyek. Hal ini mengarah pada pembuatan Immunefi, platform bug bounty yang didedikasikan untuk meningkatkan keamanan aplikasi Web3.
Sejak awal berdirinya, ImmuneFi telah membangun reputasi yang kuat, bermitra dengan proyek-proyek terkemuka seperti Synthetix, TheGraph, Polygon, MakerDAO, Nexus Mutual, SushiSwap, Vesper Keuangan, Jaringan BancordanChainlink. Hari ini, ImmuneFi adalah platform bug bounty utama di Web3, melayani lebih dari 330 proyek.
Dampak ImmuneFi telah signifikan, dengan platform dilaporkan menghemat lebih dari $25 miliardalam dana pengguna dari potensi serangan dan mendistribusikan lebih dari $100 juta dalam hadiah. Saat ini, platform ini memainkan peran penting dalam melindungi lebih dari $190 miliar dalam aset pengguna, memperkuat pentingnya keamanan yang didorong oleh komunitas dalam dunia cryptocurrency yang selalu berkembang.
Bagaimana ImmuneFi Bekerja?
ImmuneFi menjalankan sistem bug bounty yang transparan didukung oleh mekanisme konsensus proof-of-concept. Sebuah bukti konsep adalah kode dasar dan fungsional yang ditulis oleh white hat yang menyorot kelemahan dalam kontrak pintar atau sistem blockchain. Ini dibuat untuk menunjukkan bagaimana kelemahan tersebut dapat dieksploitasi tanpa menyebabkan masalah di lingkungan langsung. Dengan demikian, mereka berfungsi sebagai cara standar untuk memberikan bukti dampak potensial bug pada suatu proyek. Mereka juga diperlukan oleh hampir semua program bug bounty di ImmuneFi.
Operasi ImmuneFi melayani para peretas whitehat dan pemilik proyek. Whitehat adalah peretas etis yang mengidentifikasi dan menangani kerentanan dalam sistem dan perangkat lunak sebelum pelaku jahat dapat mengeksploitasi mereka. Pelaku jahat tersebut dikenal sebagai blackhat, dan meskipun mereka terlibat dalam kegiatan ilegal untuk keuntungan pribadi, whitehat beroperasi dalam batasan hukum dan sering bekerja sama dengan organisasi untuk meningkatkan keamanan mereka.
Di satu sisi, peretas whitehat (profesional keamanan siber yang mengidentifikasi dan memperbaiki kerentanan sistem) mengeksplorasi pilihan hadiah bug senilai lebih dari $162 juta dari proyek terkemuka di ruang Web3. Setelah mereka menemukan program yang sesuai dengan keahlian mereka, peserta dapat meninjau persyaratan hadiah dan memeriksa kode spesifik yang memenuhi syarat untuk ditinjau. Namun, hanya bug yang ditemukan dalam kode yang ditentukan dalam cakupan bounty yang akan diberi imbalan.
Setelah menemukan bug, hacker whitehat harus membuat akun dan mengirimkan bug melalui platform bug ImmuneFi. Begitu tim ImmuneFi mengkonfirmasi validitas bug, mereka akan bekerja sama dengan pemburu bounty dan klien untuk menangani masalah tersebut, setelah itu pembayaran akan dilakukan.
Di pihak pemilik proyek, mereka harus mengisi formulir onboarding bounty bug, setelah itu mereka akan menerima kuesioner. ImmuneFi kemudian akan menggunakan jawaban dari kuesioner untuk menyusun program bounty bug. Setelah itu, proyek mengirimkan draft bounty bug kepada klien untuk ditinjau. Jika semuanya baik, bounty akan diserahkan kepada spesialis peluncuran, yang akan bekerja dengan tim pemasaran klien untuk memutuskan waktu peluncuran terbaik dan detail pemasaran lainnya.
Sebagai layanan klien, ImmuneFi menulis ulasan bugfix untuk kerentanan sebagai pengingat kepada komunitas kripto yang lebih besar tentang komitmen proyek terhadap keamanan. Mereka juga memberikan bantuan PR dan saran tentang cara efektif mengkomunikasikan kerentanan patch.
ImmuneFi juga menggunakan sebuah sistem klasifikasi keparahanuntuk mengelola laporan bug secara efisien. Sistem ini mengkategorikan kerentanan berdasarkan potensi dampaknya pada dana pengguna, fungsionalitas jaringan, dan keamanan protokol secara keseluruhan. Setiap proyek dalam jaringan ImmuneFi diberi tingkat keparahan, yang dapat ditemukan di bagian 'Rewards by Threat Level' pada halaman program bug bounty proyek tersebut.
Versi terbaru dari Sistem Klasifikasi Tingkat Kerentanan Immunefi (v2.3) menggunakan skala empat tingkat: Kritis, Tinggi, Sedang, dan Rendah. Kerentanan kritis dapat menyebabkan konsekuensi berat, seperti pemadaman jaringan total atau pencurian dana yang signifikan, sementara kategori yang lebih rendah fokus pada masalah yang tidak terlalu parah, seperti bug kecil dalam kontrak pintar.
Sistem ini juga menguraikan area yang dianggap di luar cakupan, termasuk kerentanan dalam file pengujian, serangan terkait tata kelola, dan risiko ekonomi di luar yurisdiksi ImmuneFi. Kerangka kerja ini membantu pengembang meningkatkan keamanan proyek mereka dengan memberikan panduan standar untuk mengklasifikasikan dan mengatasi kerentanan. Ini juga menentukan semua perilaku terlarang dalam program bug bounty untuk memastikan praktik pengujian keamanan yang etis dan aman.
Fitur Utama dari ImmuneFi
ImmuneFi adalah rumah bagi beberapa fitur menarik, termasuk:
Profil ImmuneFi
Sumber: immunefi
Profil ImmuneFimembantu whitehats memamerkan prestasi mereka kepada dunia, termasuk kerentanan yang mereka laporkan, pendapatan mereka, lencana dan penghargaan yang mereka dapatkan, dan peringkat mereka di papan peringkat ImmuneFi.
Meskipun ini masih versi pertama, profil akan tersedia untuk semua white hat dengan setidaknya satu laporan berbayar di ImmuneFi. Namun, dalam pembaruan yang akan datang, seluruh komunitas penelitian dapat mengakses Profil. Versi baru juga akan menyertakan fitur-fitur baru, seperti Contribution Feed, yang menampilkan laporan dari waktu ke waktu sehingga pengguna dapat melacak dampak mereka.
ImmuneFi memiliki enam lencana yang akan dilampirkan pada profil peserta. Ini termasuk:
- Salah Satu Dari Kita: Badge ini diberikan setelah menyelesaikan profil Immunefi Anda, termasuk semua tautan media sosial Anda.
- Membeli BMW: Ketika Anda telah menghasilkan lebih dari $100,000 di ImmuneFi.
- Ada Rumput di Luar, Tahu: Ketika kamu telah menghasilkan lebih dari $1,000,000.
- Teman Di Tempat Tinggi: Setelah Anda menghubungkan profil Immunefi Anda ke bio Twitter Anda (mungkin memerlukan waktu hingga 24 jam untuk ditampilkan, tetapi biasanya terdaftar dalam 10 menit).
- High Five: Setelah menerima lima bounty di Immunefi.
- Rocketman: Ketika Anda mengidentifikasi bounty yang valid dari Boost.
Lebih banyak lencana, kartu peningkatan, dan pencapaian akan ditambahkan dalam pembaruan selanjutnya.
Kompetisi Audit
Sumber: immunefi
Sebuah Kompetisi AuditIni adalah tinjauan kode yang sensitif terhadap waktu dengan kolam hadiah yang ditunjuk untuk para whitehat. Selama acara-acara ini, para peretas etis melaporkan kerentanan keamanan dan hadiahnya dialokasikan berdasarkan dampak dan tingkat keparahan temuan mereka, sebagaimana ditentukan oleh sistem penilaian Immunefi.
Immunefi bermitra dengan setiap proyek blockchain untuk menyesuaikan kompetisi, termasuk menentukan ukuran reward pool dan durasi acara serta memberikan bantuan pemasaran ahli untuk menarik peneliti terampil.
Setelah kompetisi selesai, peserta akan diberi penghargaan atas kontribusi mereka, dan proyek akan menerima laporan ringkasan komprehensif yang menguraikan temuan dan wawasan kunci yang diperoleh selama acara tersebut.
Pengembang dapat meluncurkan kompetisi audit dalam beberapa hari dan mendapatkan pembaruan real-time saat kompetisi berlangsung. Mereka juga lebih ekonomis daripada sebagian besar kontes audit, menawarkan biaya yang lebih murah 20% dan menghubungkan pengembang dengan komunitas peneliti keamanan yang lebih luas dan terampil.
Fitur menonjol lainnya adalah leaderboard, yang memungkinkan peserta untuk melacak kinerja mereka dan membandingkan diri. Selain itu, pengembang masih dapat menerima hadiah meskipun peneliti lain menemukan bug terlebih dahulu. Hadiah dibagi di antara semua orang yang dapat mengidentifikasi masalah yang sama, sehingga mengurangi tekanan untuk tergesa-gesa dan mempromosikan kerja tim.
Penghargaan Whitehat
Sumber: medium
Immunefi Penghargaan Whitehatdirancang untuk merayakan upaya luar biasa para whitehats yang memainkan peran penting dalam meningkatkan keamanan Web3. Penghargaan ini mengakui individu atas pelaporan tanggung jawab mereka terhadap kerentanan keamanan dan menawarkan berbagai bentuk pengakuan, seperti NFT digital dan barang mewah.
Penghargaan mengikuti struktur berjenjang, memberi insentif kepada peretas untuk mencapai tujuan tertentu, seperti mengirimkan laporan yang memenuhi syarat untuk pembayaran atau mencapai ambang batas hadiah tertentu. Tingkatan saat ini dibagi menjadi Tingkat Inisiatif, untuk whitehat yang telah menghasilkan lebih dari $50,000 di ImmuneFi, dan Tingkat Elite, bagi mereka yang telah menghasilkan lebih dari $100,000. Namun, lebih banyak tingkatan, seperti Tingkat Master (pendapatan lebih dari $ 1 juta) dan Tingkat Grandmaster (pendapatan lebih dari $ 10 juta), diharapkan akan segera diumumkan.
Koleksi Whitehat Hall of Fame
Sumber: immunefi
Whitehat Hall of Fame adalah koleksi NFT untuk white hat paling terkenal di dunia. Pemegang kartu Hall of Fame ini dianggap sebagai hacker paling berbakat dan penting di dunia. Mereka menerima NFT yang dirancang khusus untuk mengabadikan kontribusi mereka terhadap keamanan Web3.
Setiap NFT unik dan dicetak khusus untuk setiap laporan bug yang signifikan dan sukses. Pemegang dapat menyimpannya tanpa biaya atau menjualnya kepada kolektor yang tertarik untuk merayakan momen bersejarah dalam keamanan Web3.
Undang Hanya
Sumber: immunefi
ImmuneFiProgram Undangan SajaDirancang untuk memilih hanya para peneliti yang paling berkualifikasi untuk proyek bug bounty tertentu. Proses seleksi ini mempertimbangkan persyaratan teknis dan ekosistem masing-masing proyek, memastikan bahwa keahlian para peneliti sesuai dengan kebutuhan proyek untuk audit atau keterlibatan bug bounty yang efektif.
Fitur utama dari program ini adalah komitmennya untuk menjaga privasi dan kerahasiaan. Tim proyek dapat menyesuaikan protokol mereka untuk memasukkan perjanjian spesifik mengenai kerahasiaan, kontrol atas visibilitas aset, dan preferensi terkait publikasi temuan. Hal ini memastikan bahwa informasi sensitif ditangani dengan aman, memungkinkan proyek bekerja dengan para ahli keamanan kelas atas sambil menjaga standar privasi mereka.
Dengan berkonsentrasi pada kerentanan kritis dan isu keamanan penting, Program Undangan-Only secara efektif meminimalkan rentang waktu di mana ancaman potensial dapat muncul. Hal ini menyebabkan deteksi lebih cepat dan penyelesaian permasalahan keamanan, yang pada akhirnya meningkatkan keamanan keseluruhan proyek blockchain.
Vaults ImmuneFi
Sumber: immunefi
Vault ImmuneFi dirancang untuk meningkatkan transparansi dan kepercayaan antara whitehats dan pemilik proyek dengan membantu mereka mengelola aset dan pembayaran bug bounty dengan aman. Proyek dapat menyetor dan menarik dana dari vault mereka, dan saldo yang dialokasikan untuk bounty terlihat oleh whitehats. Tingkat transparansi ini membantu membangun kepercayaan, karena whitehats akan termotivasi untuk mengirimkan laporan bug kelas atas karena mereka yakin bahwa proyek memiliki cukup uang untuk membayar bug.
Proyek dapat menyiapkan vault mereka dalam waktu kurang dari 10 menit. Setelah memverifikasi laporan bug yang valid, pembayaran diterbitkan langsung dari vault proyek, membuat transaksi lancar dan aman. Sistem ini juga mencakup fitur seperti verifikasi wallet untuk mencegah kesalahan atau pembayaran yang salah.
Vault saat ini tersedia di Ethereum dan Optimism, dan diharapkan akan tersedia di rantai EVM lainnya seperti Polygon, Gnosis Chain, dan Arbitrum. Proyek dapat mendepositkan stablecoin, ETH, dan aset lainnya pada daftar token Uniswap. Mereka juga dapat memberikan imbalan dengan satu atau lebih aset dalam satu transaksi.
ImmuneFi Safe Harbor
Sumber:immunefi
ImmuneFi Safe Harbor adalah kerangka hukum yang dibuat oleh Security Alliance (SEAL) untuk memungkinkan whitehats melindungi dana proyek ketika diserang oleh blackhats, atau pelaku jahat. Kerangka kerja ini memungkinkan mereka untuk memulihkan dana yang berisiko selama serangan tersebut dan dengan aman mengalihkan dana tersebut kembali ke Vault yang ditunjuk yang dikelola oleh Immunefi. Sebagai imbalannya, para peneliti ini dapat menghasilkan hingga 60% dari hadiah kritis maksimum yang tersedia untuk proyek.
Immunefi juga mengintegrasikan Safe Harbor ke dalam program bug bounty yang sudah ada. Safe Harbor juga menggunakan dasbor laporan bug yang sudah ada, sehingga proyek dapat menggunakan sistem peringatan darurat yang sama dan personel keamanan yang mereka nyaman dengan. Oleh karena itu, Safe Harbor bertindak sebagai perluasan dari program bug bounty ImmuneFi.
Bug Umum yang Ditemukan oleh Hacker Immune Fi
Reentrancy
Kerentanan reentrancy terjadi ketika kontrak pintar dapat dipanggil beberapa kali sebelum eksekusi pertama selesai. Hal ini memungkinkan penyerang untuk menyisipkan kode jahat yang secara berulang kali memanggil kontrak yang sama, menguras dana atau mengubah statusnya. Contoh terkenal adalah peretasan DAO 2016, yang menargetkan jaringan awal Ethereum. Untuk menghindari masalah reentrancy, pengembang dapat menggunakan penjaga reentrancy untuk mencegah panggilan ganda selama satu operasi.
Oracle/Manipulasi Harga
Orang pelopor harga memberikan data pasar kritis, seperti harga token, ke kontrak pintar. Oleh karena itu, manipulasi pelopor melibatkan penyerang mengeksploitasi umpan data ini untuk menyediakan informasi palsu, menyebabkan perhitungan harga yang tidak akurat. Misalnya, memanipulasi pelopor memungkinkan penyerang untuk membesarkan harga token dan memperoleh keuntungan selama transaksi. Untuk mencegah hal ini, pengembang menggunakan pelopor terdesentralisasi yang mengumpulkan data dari beberapa sumber.
Kontrol Akses Lemah
Sebagian besar sistem mengadopsi langkah-langkah kontrol akses yang ketat, seperti izin berbasis peran dan otentikasi yang kuat, untuk melindungi dari akses yang tidak sah. Kontrol-kontrol ini memastikan bahwa pengguna dan proses hanya diberikan izin yang diperlukan untuk peran khusus mereka. Mendokumentasikan kemampuan dan batasan masing-masing peran membantu mengidentifikasi kerentanan potensial, memungkinkan pengujian unit yang lebih efektif dan penyelesaian konflik. Proses ini membantu memastikan sistem beroperasi seperti yang dimaksud, mengurangi risiko kerentanan kritis yang disebabkan oleh kelalaian atau kesalahan konfigurasi.
Selain itu, penting untuk membatasi otoritas setiap peran. Memberikan izin yang berlebihan atau terlalu bergantung pada kontrol terpusat dapat menyebabkan kerusakan yang signifikan jika sebuah akun atau kunci pribadi dikompromikan. Memecah peran menjadi segmen-segmen yang lebih kecil akan mengurangi dampak dari pelanggaran tersebut, meningkatkan stabilitas sistem.
Berlari di depan
Frontrunning terjadi ketika seorang penyerang memanfaatkan sifat publik dari transaksi blockchain. Penyerang mengamati transaksi yang tertunda di mempool (area sementara untuk menyimpan transaksi yang belum dieksekusi pada blockchain), lalu menempatkan transaksi mereka dengan biaya gas yang lebih tinggi untuk dieksekusi sebelum transaksi korban. Hal ini terutama umum terjadi di pertukaran terdesentralisasi, di mana waktu dapat memengaruhi hasil perdagangan.
Proxy Belum Diinisialisasi
Kontrak proksi yang tidak diinisialisasi terjadi ketika variabel penyimpanan dalam kontrak proksi tidak diatur dengan benar sebelum digunakan. Kurangnya konfigurasi yang tepat dapat menyebabkan risiko keamanan karena variabel yang tidak diinisialisasi ini mungkin menyimpan data penting atau mempengaruhi fungsi kontrak kunci. Hacker jahat dapat mengeksploitasi kerentanan ini, memanipulasi variabel yang tidak diinisialisasi untuk mendapatkan akses tidak sah.
Berita tentang ImmuneFi
Pada edisi Oktober 2024 dari itu laporan kerugian crypto, ImmuneFi membagikan beberapa statistik menarik tentang kerugian yang dihadapi komunitas kripto tahun ini. Menurut laporan tersebut, komunitas kripto telah kehilangan hingga $1,400,073,177 akibat peretasan dan penarikan tiba-tiba hingga Oktober 2024 dalam 179 kejadian. Ini merupakan penurunan satu persen dari Oktober 2023, ketika kerugian mencapai $1,414,641,935.
Pada Oktober 2024, komunitas kripto mengalami kerugian hingga $55.138.600 akibat serangan di tujuh kejadian, tanpa ada laporan penipuan. Ini menandai peningkatan 114% dari Oktober 2023 namun penurunan 56,6% dari September 2024. Kerugian paling signifikan berasal dari Radiant Capital ($50 juta) dan Tapioca DAO ($4,4 juta). DeFi adalah satu-satunya sektor yang terpengaruh, dengan BNB Chain menjadi yang paling menjadi target, menyumbang 50% dari total kerugian. ImmuneFi telah membayar lebih dari $100 juta dalam bounty dan menyelamatkan lebih dari $25 miliar dalam dana pengguna.
Apakah ImmuneFi merupakan Investasi yang Baik?
ImmuneFi telah membangun reputasi sebagai program bug bounty utama di industri kripto. Ini menawarkan program bug bounty ruang lingkup umum dan solusi yang disesuaikan seperti program Invite Only. ImmuneFi adalah titik pertemuan bagi peretas whitehat dan pemilik proyek, membantu proyek-proyek tetap aman. Dengan keahlian keamanannya dan pendekatannya yang fleksibel, ImmuneFi membantu proyek-proyek membangun ekosistem yang lebih aman.
Artigos relacionados
Bagaimana Mempertaruhkan ETH?
Apa itu Tronscan dan Bagaimana Cara Menggunakannya?
Apa itu Stablecoin?
Pengenalan ImmuneFi: Platform Bug Bounty Utama di Dunia
Apa itu ImmuneFi?
Bagaimana ImmuneFi Bekerja?
Fitur Utama dari ImmuneFi
Vault ImmuneFi
ImmuneFi Safe Harbor
Bugs Umum yang Ditemukan oleh Hacker Immune Fi
Berita tentang ImmuneFi
Apakah ImmuneFi merupakan Investasi yang Baik?
Industri blockchain tidak asing dengan serangan, terutama karena menyimpan dan melindungi miliaran aset digital. Lebih dari $55 juta hilang hanya pada bulan Oktober akibat peretasan pada proyek-proyek seperti Radiant Capital dan Morpho Labs. Serangan ini menargetkan bug dalam kode proyek asli, mencari celah dan pintu belakang untuk meretas.
Mengakui kebutuhan akan solusi terdesentralisasi untuk mengurangi hal ini, Mitchell Amador mendirikan ImmuneFi untuk melindungi proyek blockchain dari bug yang dapat menyebabkan masalah, tidak peduli sekecil apa pun. Oleh karena itu, kita perlu memahami apa yang dilakukan ImmuneFi dan bagaimana manfaatnya bagi komunitas blockchain.
Apa itu ImmuneFi?
Sumber: immunefi
Immunefi adalah platform keamanan yang melindungi proyek Web3 dengan mengidentifikasi dan menangani bug dalam sistem blockchain, kontrak pintar, dan aplikasi terdesentralisasi (dApps). Bug hanyalah kelemahan atau kerentanan dalam kode sistem. Pada dasarnya, ImmuneFi memberikan insentif kepada peretas topi putih untuk menemukan dan melaporkan bug serta memberi imbalan kepada mereka berdasarkan tingkat keparahan kerentanan.
Selain layanan bug bounty-nya, Immunefi menyediakan berbagai alat untuk meningkatkan keamanan blockchain. Alat-alat ini termasuk hosting jaringan, manajemen proses triase untuk laporan bug, dan pengawasan program keamanan keseluruhan untuk proyek-proyek yang berbeda. Layanan kontrak pintar mereka sangat berguna untuk melakukan peninjauan kode dan mendeteksi kerentanan, yang membantu melindungi dari pelaku jahat. Immunefi juga bangga memiliki ekosistem lebih dari 35.000 peneliti keamanan, dengan lebih dari 1.000 di antaranya telah menemukan bug-bug kritis di mainnet.
Sejarah ImmuneFi
ImmuneFi didirikan olehMitchell Amador, yang diluncurkan platform pada 9 Desember 2020. Ide untuk ImmuneFi muncul saat Amador sedang melakukan perjalanan mendaki di Pegunungan Alpen Swiss pada awal 2020, ketika dia menemukan bahwa proyek cryptocurrency yang berbeda telah menjadi korban serangan peretasan. Insiden ini menyoroti kebutuhan mendesak untuk meningkatkan keamanan di ruang DeFi dan Web3, karena tidak ada solusi yang ada yang mengatasi kerentanan ini.
Menyadari bahwa bakat untuk mengatasi masalah ini ada di dalam komunitas, Amador menyadari bahwa platform penyatuan diperlukan untuk memberikan insentif kepada peretas untuk membantu melindungi proyek-proyek. Hal ini mengarah pada pembuatan Immunefi, platform bug bounty yang didedikasikan untuk meningkatkan keamanan aplikasi Web3.
Sejak awal berdirinya, ImmuneFi telah membangun reputasi yang kuat, bermitra dengan proyek-proyek terkemuka seperti Synthetix, TheGraph, Polygon, MakerDAO, Nexus Mutual, SushiSwap, Vesper Keuangan, Jaringan BancordanChainlink. Hari ini, ImmuneFi adalah platform bug bounty utama di Web3, melayani lebih dari 330 proyek.
Dampak ImmuneFi telah signifikan, dengan platform dilaporkan menghemat lebih dari $25 miliardalam dana pengguna dari potensi serangan dan mendistribusikan lebih dari $100 juta dalam hadiah. Saat ini, platform ini memainkan peran penting dalam melindungi lebih dari $190 miliar dalam aset pengguna, memperkuat pentingnya keamanan yang didorong oleh komunitas dalam dunia cryptocurrency yang selalu berkembang.
Bagaimana ImmuneFi Bekerja?
ImmuneFi menjalankan sistem bug bounty yang transparan didukung oleh mekanisme konsensus proof-of-concept. Sebuah bukti konsep adalah kode dasar dan fungsional yang ditulis oleh white hat yang menyorot kelemahan dalam kontrak pintar atau sistem blockchain. Ini dibuat untuk menunjukkan bagaimana kelemahan tersebut dapat dieksploitasi tanpa menyebabkan masalah di lingkungan langsung. Dengan demikian, mereka berfungsi sebagai cara standar untuk memberikan bukti dampak potensial bug pada suatu proyek. Mereka juga diperlukan oleh hampir semua program bug bounty di ImmuneFi.
Operasi ImmuneFi melayani para peretas whitehat dan pemilik proyek. Whitehat adalah peretas etis yang mengidentifikasi dan menangani kerentanan dalam sistem dan perangkat lunak sebelum pelaku jahat dapat mengeksploitasi mereka. Pelaku jahat tersebut dikenal sebagai blackhat, dan meskipun mereka terlibat dalam kegiatan ilegal untuk keuntungan pribadi, whitehat beroperasi dalam batasan hukum dan sering bekerja sama dengan organisasi untuk meningkatkan keamanan mereka.
Di satu sisi, peretas whitehat (profesional keamanan siber yang mengidentifikasi dan memperbaiki kerentanan sistem) mengeksplorasi pilihan hadiah bug senilai lebih dari $162 juta dari proyek terkemuka di ruang Web3. Setelah mereka menemukan program yang sesuai dengan keahlian mereka, peserta dapat meninjau persyaratan hadiah dan memeriksa kode spesifik yang memenuhi syarat untuk ditinjau. Namun, hanya bug yang ditemukan dalam kode yang ditentukan dalam cakupan bounty yang akan diberi imbalan.
Setelah menemukan bug, hacker whitehat harus membuat akun dan mengirimkan bug melalui platform bug ImmuneFi. Begitu tim ImmuneFi mengkonfirmasi validitas bug, mereka akan bekerja sama dengan pemburu bounty dan klien untuk menangani masalah tersebut, setelah itu pembayaran akan dilakukan.
Di pihak pemilik proyek, mereka harus mengisi formulir onboarding bounty bug, setelah itu mereka akan menerima kuesioner. ImmuneFi kemudian akan menggunakan jawaban dari kuesioner untuk menyusun program bounty bug. Setelah itu, proyek mengirimkan draft bounty bug kepada klien untuk ditinjau. Jika semuanya baik, bounty akan diserahkan kepada spesialis peluncuran, yang akan bekerja dengan tim pemasaran klien untuk memutuskan waktu peluncuran terbaik dan detail pemasaran lainnya.
Sebagai layanan klien, ImmuneFi menulis ulasan bugfix untuk kerentanan sebagai pengingat kepada komunitas kripto yang lebih besar tentang komitmen proyek terhadap keamanan. Mereka juga memberikan bantuan PR dan saran tentang cara efektif mengkomunikasikan kerentanan patch.
ImmuneFi juga menggunakan sebuah sistem klasifikasi keparahanuntuk mengelola laporan bug secara efisien. Sistem ini mengkategorikan kerentanan berdasarkan potensi dampaknya pada dana pengguna, fungsionalitas jaringan, dan keamanan protokol secara keseluruhan. Setiap proyek dalam jaringan ImmuneFi diberi tingkat keparahan, yang dapat ditemukan di bagian 'Rewards by Threat Level' pada halaman program bug bounty proyek tersebut.
Versi terbaru dari Sistem Klasifikasi Tingkat Kerentanan Immunefi (v2.3) menggunakan skala empat tingkat: Kritis, Tinggi, Sedang, dan Rendah. Kerentanan kritis dapat menyebabkan konsekuensi berat, seperti pemadaman jaringan total atau pencurian dana yang signifikan, sementara kategori yang lebih rendah fokus pada masalah yang tidak terlalu parah, seperti bug kecil dalam kontrak pintar.
Sistem ini juga menguraikan area yang dianggap di luar cakupan, termasuk kerentanan dalam file pengujian, serangan terkait tata kelola, dan risiko ekonomi di luar yurisdiksi ImmuneFi. Kerangka kerja ini membantu pengembang meningkatkan keamanan proyek mereka dengan memberikan panduan standar untuk mengklasifikasikan dan mengatasi kerentanan. Ini juga menentukan semua perilaku terlarang dalam program bug bounty untuk memastikan praktik pengujian keamanan yang etis dan aman.
Fitur Utama dari ImmuneFi
ImmuneFi adalah rumah bagi beberapa fitur menarik, termasuk:
Profil ImmuneFi
Sumber: immunefi
Profil ImmuneFimembantu whitehats memamerkan prestasi mereka kepada dunia, termasuk kerentanan yang mereka laporkan, pendapatan mereka, lencana dan penghargaan yang mereka dapatkan, dan peringkat mereka di papan peringkat ImmuneFi.
Meskipun ini masih versi pertama, profil akan tersedia untuk semua white hat dengan setidaknya satu laporan berbayar di ImmuneFi. Namun, dalam pembaruan yang akan datang, seluruh komunitas penelitian dapat mengakses Profil. Versi baru juga akan menyertakan fitur-fitur baru, seperti Contribution Feed, yang menampilkan laporan dari waktu ke waktu sehingga pengguna dapat melacak dampak mereka.
ImmuneFi memiliki enam lencana yang akan dilampirkan pada profil peserta. Ini termasuk:
- Salah Satu Dari Kita: Badge ini diberikan setelah menyelesaikan profil Immunefi Anda, termasuk semua tautan media sosial Anda.
- Membeli BMW: Ketika Anda telah menghasilkan lebih dari $100,000 di ImmuneFi.
- Ada Rumput di Luar, Tahu: Ketika kamu telah menghasilkan lebih dari $1,000,000.
- Teman Di Tempat Tinggi: Setelah Anda menghubungkan profil Immunefi Anda ke bio Twitter Anda (mungkin memerlukan waktu hingga 24 jam untuk ditampilkan, tetapi biasanya terdaftar dalam 10 menit).
- High Five: Setelah menerima lima bounty di Immunefi.
- Rocketman: Ketika Anda mengidentifikasi bounty yang valid dari Boost.
Lebih banyak lencana, kartu peningkatan, dan pencapaian akan ditambahkan dalam pembaruan selanjutnya.
Kompetisi Audit
Sumber: immunefi
Sebuah Kompetisi AuditIni adalah tinjauan kode yang sensitif terhadap waktu dengan kolam hadiah yang ditunjuk untuk para whitehat. Selama acara-acara ini, para peretas etis melaporkan kerentanan keamanan dan hadiahnya dialokasikan berdasarkan dampak dan tingkat keparahan temuan mereka, sebagaimana ditentukan oleh sistem penilaian Immunefi.
Immunefi bermitra dengan setiap proyek blockchain untuk menyesuaikan kompetisi, termasuk menentukan ukuran reward pool dan durasi acara serta memberikan bantuan pemasaran ahli untuk menarik peneliti terampil.
Setelah kompetisi selesai, peserta akan diberi penghargaan atas kontribusi mereka, dan proyek akan menerima laporan ringkasan komprehensif yang menguraikan temuan dan wawasan kunci yang diperoleh selama acara tersebut.
Pengembang dapat meluncurkan kompetisi audit dalam beberapa hari dan mendapatkan pembaruan real-time saat kompetisi berlangsung. Mereka juga lebih ekonomis daripada sebagian besar kontes audit, menawarkan biaya yang lebih murah 20% dan menghubungkan pengembang dengan komunitas peneliti keamanan yang lebih luas dan terampil.
Fitur menonjol lainnya adalah leaderboard, yang memungkinkan peserta untuk melacak kinerja mereka dan membandingkan diri. Selain itu, pengembang masih dapat menerima hadiah meskipun peneliti lain menemukan bug terlebih dahulu. Hadiah dibagi di antara semua orang yang dapat mengidentifikasi masalah yang sama, sehingga mengurangi tekanan untuk tergesa-gesa dan mempromosikan kerja tim.
Penghargaan Whitehat
Sumber: medium
Immunefi Penghargaan Whitehatdirancang untuk merayakan upaya luar biasa para whitehats yang memainkan peran penting dalam meningkatkan keamanan Web3. Penghargaan ini mengakui individu atas pelaporan tanggung jawab mereka terhadap kerentanan keamanan dan menawarkan berbagai bentuk pengakuan, seperti NFT digital dan barang mewah.
Penghargaan mengikuti struktur berjenjang, memberi insentif kepada peretas untuk mencapai tujuan tertentu, seperti mengirimkan laporan yang memenuhi syarat untuk pembayaran atau mencapai ambang batas hadiah tertentu. Tingkatan saat ini dibagi menjadi Tingkat Inisiatif, untuk whitehat yang telah menghasilkan lebih dari $50,000 di ImmuneFi, dan Tingkat Elite, bagi mereka yang telah menghasilkan lebih dari $100,000. Namun, lebih banyak tingkatan, seperti Tingkat Master (pendapatan lebih dari $ 1 juta) dan Tingkat Grandmaster (pendapatan lebih dari $ 10 juta), diharapkan akan segera diumumkan.
Koleksi Whitehat Hall of Fame
Sumber: immunefi
Whitehat Hall of Fame adalah koleksi NFT untuk white hat paling terkenal di dunia. Pemegang kartu Hall of Fame ini dianggap sebagai hacker paling berbakat dan penting di dunia. Mereka menerima NFT yang dirancang khusus untuk mengabadikan kontribusi mereka terhadap keamanan Web3.
Setiap NFT unik dan dicetak khusus untuk setiap laporan bug yang signifikan dan sukses. Pemegang dapat menyimpannya tanpa biaya atau menjualnya kepada kolektor yang tertarik untuk merayakan momen bersejarah dalam keamanan Web3.
Undang Hanya
Sumber: immunefi
ImmuneFiProgram Undangan SajaDirancang untuk memilih hanya para peneliti yang paling berkualifikasi untuk proyek bug bounty tertentu. Proses seleksi ini mempertimbangkan persyaratan teknis dan ekosistem masing-masing proyek, memastikan bahwa keahlian para peneliti sesuai dengan kebutuhan proyek untuk audit atau keterlibatan bug bounty yang efektif.
Fitur utama dari program ini adalah komitmennya untuk menjaga privasi dan kerahasiaan. Tim proyek dapat menyesuaikan protokol mereka untuk memasukkan perjanjian spesifik mengenai kerahasiaan, kontrol atas visibilitas aset, dan preferensi terkait publikasi temuan. Hal ini memastikan bahwa informasi sensitif ditangani dengan aman, memungkinkan proyek bekerja dengan para ahli keamanan kelas atas sambil menjaga standar privasi mereka.
Dengan berkonsentrasi pada kerentanan kritis dan isu keamanan penting, Program Undangan-Only secara efektif meminimalkan rentang waktu di mana ancaman potensial dapat muncul. Hal ini menyebabkan deteksi lebih cepat dan penyelesaian permasalahan keamanan, yang pada akhirnya meningkatkan keamanan keseluruhan proyek blockchain.
Vaults ImmuneFi
Sumber: immunefi
Vault ImmuneFi dirancang untuk meningkatkan transparansi dan kepercayaan antara whitehats dan pemilik proyek dengan membantu mereka mengelola aset dan pembayaran bug bounty dengan aman. Proyek dapat menyetor dan menarik dana dari vault mereka, dan saldo yang dialokasikan untuk bounty terlihat oleh whitehats. Tingkat transparansi ini membantu membangun kepercayaan, karena whitehats akan termotivasi untuk mengirimkan laporan bug kelas atas karena mereka yakin bahwa proyek memiliki cukup uang untuk membayar bug.
Proyek dapat menyiapkan vault mereka dalam waktu kurang dari 10 menit. Setelah memverifikasi laporan bug yang valid, pembayaran diterbitkan langsung dari vault proyek, membuat transaksi lancar dan aman. Sistem ini juga mencakup fitur seperti verifikasi wallet untuk mencegah kesalahan atau pembayaran yang salah.
Vault saat ini tersedia di Ethereum dan Optimism, dan diharapkan akan tersedia di rantai EVM lainnya seperti Polygon, Gnosis Chain, dan Arbitrum. Proyek dapat mendepositkan stablecoin, ETH, dan aset lainnya pada daftar token Uniswap. Mereka juga dapat memberikan imbalan dengan satu atau lebih aset dalam satu transaksi.
ImmuneFi Safe Harbor
Sumber:immunefi
ImmuneFi Safe Harbor adalah kerangka hukum yang dibuat oleh Security Alliance (SEAL) untuk memungkinkan whitehats melindungi dana proyek ketika diserang oleh blackhats, atau pelaku jahat. Kerangka kerja ini memungkinkan mereka untuk memulihkan dana yang berisiko selama serangan tersebut dan dengan aman mengalihkan dana tersebut kembali ke Vault yang ditunjuk yang dikelola oleh Immunefi. Sebagai imbalannya, para peneliti ini dapat menghasilkan hingga 60% dari hadiah kritis maksimum yang tersedia untuk proyek.
Immunefi juga mengintegrasikan Safe Harbor ke dalam program bug bounty yang sudah ada. Safe Harbor juga menggunakan dasbor laporan bug yang sudah ada, sehingga proyek dapat menggunakan sistem peringatan darurat yang sama dan personel keamanan yang mereka nyaman dengan. Oleh karena itu, Safe Harbor bertindak sebagai perluasan dari program bug bounty ImmuneFi.
Bug Umum yang Ditemukan oleh Hacker Immune Fi
Reentrancy
Kerentanan reentrancy terjadi ketika kontrak pintar dapat dipanggil beberapa kali sebelum eksekusi pertama selesai. Hal ini memungkinkan penyerang untuk menyisipkan kode jahat yang secara berulang kali memanggil kontrak yang sama, menguras dana atau mengubah statusnya. Contoh terkenal adalah peretasan DAO 2016, yang menargetkan jaringan awal Ethereum. Untuk menghindari masalah reentrancy, pengembang dapat menggunakan penjaga reentrancy untuk mencegah panggilan ganda selama satu operasi.
Oracle/Manipulasi Harga
Orang pelopor harga memberikan data pasar kritis, seperti harga token, ke kontrak pintar. Oleh karena itu, manipulasi pelopor melibatkan penyerang mengeksploitasi umpan data ini untuk menyediakan informasi palsu, menyebabkan perhitungan harga yang tidak akurat. Misalnya, memanipulasi pelopor memungkinkan penyerang untuk membesarkan harga token dan memperoleh keuntungan selama transaksi. Untuk mencegah hal ini, pengembang menggunakan pelopor terdesentralisasi yang mengumpulkan data dari beberapa sumber.
Kontrol Akses Lemah
Sebagian besar sistem mengadopsi langkah-langkah kontrol akses yang ketat, seperti izin berbasis peran dan otentikasi yang kuat, untuk melindungi dari akses yang tidak sah. Kontrol-kontrol ini memastikan bahwa pengguna dan proses hanya diberikan izin yang diperlukan untuk peran khusus mereka. Mendokumentasikan kemampuan dan batasan masing-masing peran membantu mengidentifikasi kerentanan potensial, memungkinkan pengujian unit yang lebih efektif dan penyelesaian konflik. Proses ini membantu memastikan sistem beroperasi seperti yang dimaksud, mengurangi risiko kerentanan kritis yang disebabkan oleh kelalaian atau kesalahan konfigurasi.
Selain itu, penting untuk membatasi otoritas setiap peran. Memberikan izin yang berlebihan atau terlalu bergantung pada kontrol terpusat dapat menyebabkan kerusakan yang signifikan jika sebuah akun atau kunci pribadi dikompromikan. Memecah peran menjadi segmen-segmen yang lebih kecil akan mengurangi dampak dari pelanggaran tersebut, meningkatkan stabilitas sistem.
Berlari di depan
Frontrunning terjadi ketika seorang penyerang memanfaatkan sifat publik dari transaksi blockchain. Penyerang mengamati transaksi yang tertunda di mempool (area sementara untuk menyimpan transaksi yang belum dieksekusi pada blockchain), lalu menempatkan transaksi mereka dengan biaya gas yang lebih tinggi untuk dieksekusi sebelum transaksi korban. Hal ini terutama umum terjadi di pertukaran terdesentralisasi, di mana waktu dapat memengaruhi hasil perdagangan.
Proxy Belum Diinisialisasi
Kontrak proksi yang tidak diinisialisasi terjadi ketika variabel penyimpanan dalam kontrak proksi tidak diatur dengan benar sebelum digunakan. Kurangnya konfigurasi yang tepat dapat menyebabkan risiko keamanan karena variabel yang tidak diinisialisasi ini mungkin menyimpan data penting atau mempengaruhi fungsi kontrak kunci. Hacker jahat dapat mengeksploitasi kerentanan ini, memanipulasi variabel yang tidak diinisialisasi untuk mendapatkan akses tidak sah.
Berita tentang ImmuneFi
Pada edisi Oktober 2024 dari itu laporan kerugian crypto, ImmuneFi membagikan beberapa statistik menarik tentang kerugian yang dihadapi komunitas kripto tahun ini. Menurut laporan tersebut, komunitas kripto telah kehilangan hingga $1,400,073,177 akibat peretasan dan penarikan tiba-tiba hingga Oktober 2024 dalam 179 kejadian. Ini merupakan penurunan satu persen dari Oktober 2023, ketika kerugian mencapai $1,414,641,935.
Pada Oktober 2024, komunitas kripto mengalami kerugian hingga $55.138.600 akibat serangan di tujuh kejadian, tanpa ada laporan penipuan. Ini menandai peningkatan 114% dari Oktober 2023 namun penurunan 56,6% dari September 2024. Kerugian paling signifikan berasal dari Radiant Capital ($50 juta) dan Tapioca DAO ($4,4 juta). DeFi adalah satu-satunya sektor yang terpengaruh, dengan BNB Chain menjadi yang paling menjadi target, menyumbang 50% dari total kerugian. ImmuneFi telah membayar lebih dari $100 juta dalam bounty dan menyelamatkan lebih dari $25 miliar dalam dana pengguna.
Apakah ImmuneFi merupakan Investasi yang Baik?
ImmuneFi telah membangun reputasi sebagai program bug bounty utama di industri kripto. Ini menawarkan program bug bounty ruang lingkup umum dan solusi yang disesuaikan seperti program Invite Only. ImmuneFi adalah titik pertemuan bagi peretas whitehat dan pemilik proyek, membantu proyek-proyek tetap aman. Dengan keahlian keamanannya dan pendekatannya yang fleksibel, ImmuneFi membantu proyek-proyek membangun ekosistem yang lebih aman.
Artigos relacionados
Bagaimana Mempertaruhkan ETH?
Apa itu Tronscan dan Bagaimana Cara Menggunakannya?