บทนำเกี่ยวกับ ImmuneFi: แพลตฟอร์ม Bug Bounty ชั้นนำของโลก
อุตสาหกรรมบล็อกเชนไม่ใช่คนแปลกหน้าสําหรับการโจมตีส่วนใหญ่เนื่องจากจัดเก็บและปกป้องสินทรัพย์ดิจิทัลหลายพันล้านรายการ เงินกว่า 55 ล้านดอลลาร์หายไปในเดือนตุลาคมเพียงปีเดียวเนื่องจากการแฮ็กในโครงการต่างๆ เช่น Radiant Capital และ Morpho Labs แฮ็กเหล่านี้กําหนดเป้าหมายข้อบกพร่องในรหัสของโครงการดั้งเดิมโดยมองหาช่องโหว่และแบ็คดอร์เพื่อแทรกซึม
รู้จักถึงความจำเป็นของการมีระบบกระจายเพื่อลดปัญหานี้ มิตเชล อามาดอร์ ก่อตั้ง ImmuneFi เพื่อปกป้องโครงการบล็อกเชนจากข้อบกพร่องที่อาจทำให้เกิดปัญหา ไม่ว่าจะเล็กน้อยแค่ไหน ดังนั้น เราต้องเข้าใจว่า ImmuneFi ทำอะไรและมีประโยชน์อย่างไรต่อชุมชนบล็อกเชน
ImmuneFi คืออะไร?
แหล่งที่มา: อิมมูเนฟี
Immunefi เป็นแพลตฟอร์มรักษาความปลอดภัยที่ป้องกันโครงการ Web3 โดยการระบุและแก้ไขข้อบกพร่องในระบบบล็อกเชน สมาร์ทคอนแทรค และแอปพลิเคชันที่ไม่มีส่วนรวม (dApps) Bugs ก็คือข้อบกพร่องหรือจุดบกพร่องภายในรหัสของระบบ โดยพื้นฐานแล้ว ImmuneFi สร้างสรรค์ให้นักเจาะระบบแบบมีจิตสำนึกดี (white hat hackers) ค้นพบและรายงานข้อบกพร่องและตอบแทนพวกเขาตามความรุนแรงของจุดบกพร่อง
นอกจากบริการ bug bounty ของตน Immunefi ยังมีเครื่องมือต่าง ๆ เพื่อเสริมความปลอดภัยของบล็อกเชน ซึ่งรวมถึงการเป็นโฮสต์เครือข่าย การจัดการกระบวนการตรวจสอบข้อบกพร่อง และการควบคุมโปรแกรมความปลอดภัยทั้งหมดสำหรับโปรเจคต์ต่าง ๆ บริการสมาร์ทคอนแทรกต์ของพวกเขาเป็นประโยชน์มากโดยเฉพาะสำหรับการทำการทบทวนโค้ดและการตรวจจับข้อบกพร่องซึ่งช่วยป้องกันไมแล้วต่อผู้กระทำที่ไม่หวังดี Immunefi ยังมีระบบนิเวศของนักวิจัยด้านความปลอดภัยมากกว่า 35,000 คนโดยมีมากกว่า 1,000 คนได้ค้นพบข้อบกพร่องที่สำคัญบน mainnet
ประวัติศาสตร์ของ ImmuneFi
ImmuneFi ถูกสร้างขึ้นโดยMitchell Amador, ผู้ที่เปิดตัวแพลตฟอร์มเมื่อวันที่ 9 ธันวาคม 2020 ไอเดียสำหรับ ImmuneFi ถูกค้นพบโดย Amador ในระหว่างการปีนเขาในภูเขาสวิสอัลป์ในช่วงต้นปี 2020 เมื่อเขาค้นพบว่าโครงการเชื่อมโยงสกุลเงินดิจิตอลที่แตกต่างกันเกิดเหตุการติดตามความเสี่ยง เหตุการณ์นี้เน้นความเร่งด่วนของความปลอดภัยที่ดีขึ้นในพื้นที่ DeFi และ Web3 เนื่องจากไม่มีโซลูชันที่มีอยู่แก้ไขความเสี่ยงเหล่านี้
เมื่อรู้สึกตรงกับที่มีความสามารถในการจัดการกับปัญหานี้อยู่ภายในชุมชน อมาดอร์ตระหนักว่าจำเป็นต้องมีแพลตฟอร์มที่รวมรวมเพื่อปลุกกระตุ้นผู้แฮกเกอร์เพื่อช่วยป้องกันโครงการ นี่ส่งผลให้เกิด Immunefi เป็นชุดเครื่องมือ bug bounty ที่มุ่งเน้นสู่การเพิ่มความปลอดภัยของแอปพลิเคชัน Web3
ตั้งแต่จุดเริ่มต้นของมัน เอกลักษณ์ของ ImmuneFi ได้สร้างชื่อเสียงที่แข็งแกร่ง โดยเป็นพันธมิตรกับโครงการชั้นนำ เช่น Synthetix, TheGraph, โพลีกอน, MakerDAO, เน็กซัสมิวจูเอล, SushiSwap, Vesper Finance, เครือข่ายแบนคอร์, และ Chainlink. ในปัจจุบัน ImmuneFi เป็นแพลตฟอร์ม bug bounty ที่เป็นตัวนำใน Web3 รับให้บริการกับโครงการกว่า 330 โครงการ
ผลกระทบของ ImmuneFi มีความสำคัญ โดยที่แพลตฟอร์มได้รายงานเศรษฐกิจมีการออมมากกว่า 25 พันล้านดอลลาร์ในเงินของผู้ใช้จากการโจมตีที่เป็นไปได้และการจ่ายเงินรางวัลมากกว่า 100 ล้านเหรียญสหรัฐ ปัจจุบันแพลตฟอร์มเล่นบทบาทสำคัญในการป้องกันมากกว่า 190 พันล้านเหรียญสหรัฐในทรัพย์สินของผู้ใช้ การเสริมความสำคัญของความปลอดภัยที่เป็นมิตรต่อชุมชนในโลกของสกุลเงินดิจิตอลที่เปลี่ยนไปอย่างต่อเนื่อง
ImmuneFi ทำงานอย่างไร?
ImmuneFi เรียกใช้ระบบเงินรางวัลข้อผิดพลาดที่โปร่งใสซึ่งได้รับการสนับสนุนโดยกลไกฉันทามติแบบพิสูจน์แนวคิด การพิสูจน์แนวคิดคือรหัสพื้นฐานที่ใช้งานได้ซึ่งเขียนโดยหมวกสีขาวที่เน้นข้อบกพร่องในสัญญาอัจฉริยะหรือระบบบล็อกเชน มันถูกสร้างขึ้นเพื่อแสดงให้เห็นว่าข้อบกพร่องเหล่านั้นสามารถใช้ประโยชน์ได้อย่างไรโดยไม่ก่อให้เกิดปัญหาในสภาพแวดล้อมที่มีชีวิต ด้วยเหตุนี้พวกเขาจึงเป็นวิธีมาตรฐานในการแสดงหลักฐานของผลกระทบที่อาจเกิดขึ้นจากข้อบกพร่องในโครงการ พวกเขายังต้องการโดยโปรแกรมเงินรางวัลบั๊กเกือบทั้งหมดบน ImmuneFi
การดำเนินงานของ ImmuneFi เป็นที่เรียบร้อยทั้งสำหรับ whitehat hackers และเจ้าของโครงการ Whitehats เป็น ethical hackers ที่ตรวจพบและแก้ไขช่องโหว่ในระบบและซอฟต์แวร์ก่อนที่ blackhats จะนำมาใช้ในทางที่ไม่เหมาะสม ผู้ใช้ที่ไม่เหมาะสมนั้นเรียกว่า blackhats และในขณะที่พวกเขามีกิจกรรมที่ผิดกฎหมายเพื่อผลประโยชน์ส่วนบุคคล whitehats ดำเนินการในขอบเขตกฎหมายและบ่อยครั้งร่วมมือกับองค์กรเพื่อเสริมสร้างความปลอดภัยของพวกเขา
ในอีกด้านหนึ่งแฮกเกอร์ whitehat (ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ระบุและแก้ไขช่องโหว่ของระบบ) จะสํารวจตัวเลือกบั๊กมูลค่ากว่า 162 ล้านดอลลาร์จากโครงการที่มีชื่อเสียงในพื้นที่ Web3 เมื่อพวกเขาพบโปรแกรมที่ตรงกับชุดทักษะของพวกเขาผู้เข้าร่วมสามารถตรวจสอบข้อกําหนดเงินรางวัลและตรวจสอบรหัสเฉพาะที่มีสิทธิ์ได้รับการตรวจสอบ อย่างไรก็ตามเฉพาะข้อบกพร่องที่ค้นพบภายในรหัสที่ระบุในขอบเขตเงินรางวัลเท่านั้นที่จะได้รับรางวัล
หลังจากพบข้อบกพร่อง นักเจาะระบบสีขาวจะต้องสร้างบัญชีและส่งข้อบกพร่องผ่านแพลตฟอร์มบั๊ก ImmuneFi. เมื่อทีม ImmuneFi ยืนยันความถูกต้องของข้อผิดพลาดแล้ว พวกเขาจะทำงานร่วมกับนักล่าเงินรางวัลและลูกค้าเพื่อแก้ไขปัญหา หลังจากนั้นจะมีการชำระเงิน
ในฝั่งเจ้าของโครงการคุณจะต้องกรอกแบบฟอร์มเริ่มต้นการทดสอบความปลอดภัยของบั๊ก หลังจากนั้นคุณจะได้รับแบบสอบถาม ImmuneFi จะใช้คำตอบในแบบสอบถามเพื่อร่างโปรแกรม bug bounty จากนั้นโครงการจะส่งร่าง bug bounty ให้กับลูกค้าเพื่อตรวจสอบ หากทุกอย่างเป็นที่ดีก็จะมอบเงินรางวัลให้กับเจ้าของโครงการที่เป็นผู้เชี่ยวชาญในการเปิดตัว ซึ่งจะร่วมงานกับทีมการตลาดของลูกค้าเพื่อตัดสินใจถึงเวลาเปิดตัวที่ดีที่สุดและรายละเอียดการตลาดอื่น ๆ
ในฐานะผู้ให้บริการลูกค้า ImmuneFi เขียนบทวิจารณ์การแก้บั๊กสำหรับช่องโหว่เพื่อเตือนความรับผิดชอบต่อความปลอดภัยของโครงการให้กับชุมชนคริปโตที่ใหญ่ขึ้น พวกเขายังให้ความช่วยเหลือในการประชาสัมพันธ์และคำแนะนำเกี่ยวกับการสื่อสารเชิงปรับปรุงช่องโหว่อย่างมีประสิทธิภาพ
ImmuneFi ยังใช้ระบบการจำแนกความรุนแรงในการจัดการรายงานข้อบกพร่องอย่างมีประสิทธิภาพ ระบบนี้จะจัดประเภทความเสียหายที่อาจเกิดขึ้นกับเงินของผู้ใช้ ความสามารถของเครือข่าย และความปลอดภัยของโปรโตคอลโดยรวม โครงการแต่ละโครงการภายในเครือข่าย ImmuneFi จะได้รับระดับความรุนแรงที่พบในส่วน 'รางวัลตามระดับความเสี่ยง' ในหน้าโปรแกรม bug bounty ของโครงการ
เวอร์ชันล่าสุดของระบบการจำแนกความรุนแรงของช่องโหว่ของ Immunefi (v2.3)ใช้เกณฑ์สี่ระดับ: ร้ายแรง, สูง, ปานกลาง และต่ำ ช่องโหว่ที่ร้ายแรงอาจส่งผลให้เกิดปัญหาร้ายแรง เช่น การยกเลิกเครือข่ายทั้งหมดหรือการโจมตีทรัพย์สินที่สำคัญ ในขณะที่หมวดหมู่ที่ต่ำกว่าเน้นไปที่ปัญหาที่ไม่ร้ายแรงน้อย ๆ เช่น ข้อบกพร่องเล็กน้อยในสัญญาฉลาก
ระบบยังระบุพื้นที่ที่ไม่เกี่ยวข้อง เช่น ช่องโหว่ในไฟล์ทดสอบ การโจมตีที่เกี่ยวกับการบริหารจัดการ และความเสี่ยงทางเศรษฐกิจภายนอกเขตอำนาจของ ImmuneFi กรอบนี้ช่วยให้นักพัฒนาเพิ่มประสิทธิภาพในด้านความมั่นคงปลอดภัยของโครงการของพวกเขาโดยการให้แนวปฏิบัติมาตรฐานสำหรับการจัดหมวดหมู่และการแก้ไขช่องโหว่ นอกจากนี้ยังระบุการกระทำที่ห้ามทั้งหมดภายในโปรแกรม bug bounty เพื่อให้มั่นใจว่าการทดสอบความมั่นคงปลอดภัยจะเป็นไปอย่างสมควรและปลอดภัยต่อจริงจากผู้ทดสอบที่มีจริยธรรมและปลอดภัย
คุณสมบัติหลักของ ImmuneFi
ImmuneFi เป็นที่อยู่ของคุณสมบัติที่น่าสนใจหลายประการ รวมถึง:
โปรไฟล์ ImmuneFi
Source: immunefi
โปรไฟล์ ImmuneFiช่วยให้ whitehats สามารถแสดงความสำเร็จของตนเองให้กับโลก เช่น รายงานช่องโหว่ที่พวกเขาได้รายงาน รายได้ที่พวกเขาได้รับ ป้ายกำกับและรางวัลที่พวกเขาได้รับ และอันดับของพวกเขาใน ImmuneFi leaderboard
แม้ว่าจะยังคงเป็นเวอร์ชันแรก แต่โปรไฟล์จะพร้อมใช้งานสําหรับหมวกสีขาวทั้งหมดที่มีรายงานแบบชําระเงินอย่างน้อยหนึ่งฉบับเกี่ยวกับ ImmuneFi อย่างไรก็ตามในการอัปเดตที่กําลังจะมาถึงชุมชนการวิจัยทั้งหมดสามารถเข้าถึงโปรไฟล์ได้ เวอร์ชันใหม่จะมีฟีเจอร์ใหม่ๆ เช่น ฟีดการมีส่วนร่วม ซึ่งจะแสดงรายงานเมื่อเวลาผ่านไปเพื่อให้ผู้ใช้สามารถติดตามผลกระทบได้
ImmuneFi มีตราสัญลักษณ์หกอันที่จะถูกแนบไปยังโปรไฟล์ของผู้เข้าร่วม รวมถึง:
- One Of Us: ตรานี้จะได้รับเมื่อท่านทำการกรอกข้อมูลโปรไฟล์ Immunefi ของท่านเสร็จสิ้น รวมถึงลิงก์โซเชียลมีเดียทั้งหมดของท่าน
- Bought The BMW: เมื่อคุณได้รับกำไรมากกว่า $100,000 บน ImmuneFi.
- มีหญ้าข้างนอก คุณรู้ไหม: เมื่อคุณได้รับมากกว่า $1,000,000
- เพื่อนในสถานที่สูง: เมื่อคุณได้เชื่อมโยงโปรไฟล์ Immunefi ของคุณกับไบโอทวิตเตอร์ของคุณ (อาจใช้เวลาถึง 24 ชั่วโมงในการแสดงผล แต่มักจะลงทะเบียนภายใน 10 นาที)
- High Five: หลังจากได้รับรางวัล bug bounty ห้าราย บน Immunefi.
- Rocketman: เมื่อคุณระบุเงินรางวัลที่ถูกต้องจาก Boost.
ในอัปเดตภายหลังจะมีการเพิ่มตราสัญลักษณ์เพิ่มเติม การ์ดการเพิ่มความเร็วและความสำเร็จ
การตรวจสอบการแข่งขัน
แหล่งที่มา: immunefi
หนึ่ง การแข่งขันตรวจสอบเป็นการตรวจสอบรหัสที่อยู่ในช่วงเวลาที่มีรางวัลสำหรับ whitehats ที่กำหนดไว้ ระหว่างเหตุการณ์เหล่านี้ แฮกเกอร์ที่มีจริงรายงานช่องโหว่ด้านความปลอดภัยและรางวัลจะถูกจัดสรรตามผลกระทบและความรุนแรงของการค้นพบของพวกเขาตามระบบการจัดเกรดของ Immunefi
Immunefi ได้เป็นพันธมิตรกับโครงการบล็อกเชนทุกโครงการเพื่อปรับแต่งการแข่งขัน รวมถึงการตัดสินใจขนาดสระว่ายน้ำรางวัลและระยะเวลาการจัดกิจกรรม และการให้ความช่วยเหลือด้านการตลาดจากผู้เชี่ยวชาญเพื่อดึงดูดนักวิจัยที่เชี่ยวชาญ
เมื่อการแข่งขันสิ้นสุดลง ผู้เข้าร่วมจะได้รับเงินรางวัลเป็นการยินดีต่อความช่วยเหลือของพวกเขา และโครงการจะได้รับรายงานสรุปอบอุ่นที่อธิบายถึงความพบพอบพบและความเข้าใจที่ได้รับระหว่างงาน
นักพัฒนาสามารถเริ่มการแข่งขันตรวจสอบในวันหรือวันที่สอง และได้รับการอัพเดตแบบเรียลไทม์ขณะที่การแข่งขันกำลังดำเนินอยู่ นอกจากนี้ยังมีราคาที่ถูกกว่าส่วนใหญ่ของการแข่งขันในด้านตรวจสอบ มีค่าธรรมเนียมที่ถูกลง 20% และเชื่อมต่อนักพัฒนาโดยรวมกับชุมชนนักวิจัยด้านความมั่นคงของข้อมูลที่กว้างกว่าและมีความชำนาญมากขึ้น
คุณสมบัติที่น่าสังเกตอื่น ๆ คือตารางคะแนนหัวหน้าที่ช่วยให้ผู้เข้าร่วมสามารถติดตามผลงานของตนเองและเปรียบเทียบกับผู้อื่น นอกจากนี้ นักพัฒนายังสามารถรับรางวัลได้แม้ว่านักวิจัยคนอื่นจะค้นพบบั๊กก่อน รางวัลถูกแบ่งปันให้กับผู้ที่สามารถระบุปัญหาเดียวกันทั้งหมด ซึ่งจะบรรเทาความกดดันให้รีบร้อนและส่งเสริมการทำงานร่วมกัน
Whitehat Awards
แหล่งที่มา: medium
The Immunefi รางวัลแห่งวายท์แฮต ถูกออกแบบมาเพื่อเฉลิมฉลองความพยายามที่โดดเด่นของ whitehats ที่มีบทบาทสำคัญในการเสริมสร้างความปลอดภัยของ Web3 รางวัลเหล่านี้จะจำแนกบุคคลที่รายงานช่องโหว่ด้านความปลอดภัยอย่างรับผิดชอบและมอบรางวัลในรูปแบบต่าง ๆ เช่น NFTs ดิจิตอลและสินค้าหรูหรา
รางวัลนำไปตามโครงสร้างระดับ ที่กระตุ้นให้ผู้แฮ็กเกอร์เข้าถึงเป้าหมายที่แน่นอน เช่น การส่งรายงานที่มีสิทธิ์ได้รับการชำระเงินหรือการบรรลุเกณฑ์บางอย่างของเงินรางวัล เราแบ่งโครงสร้างเป็นระดับ โดยปัจจุบันแบ่งเป็นระดับเริ่มต้น สำหรับ whitehats ที่ได้รับมากกว่า 50,000 ดอลลาร์บน ImmuneFi และระดับเอลีทสำหรับผู้ที่ได้รับมากกว่า 100,000 ดอลลาร์ อย่างไรก็ตาม ระดับอื่น ๆ เช่น ระดับมาสเตอร์ (มากกว่า 1 ล้านดอลลาร์ในรายได้) และระดับแกรนด์มาสเตอร์ (มากกว่า 10 ล้านดอลลาร์ในรายได้) คาดว่าจะประกาศโดยเร็ว
คอลเลคชัน Whitehat Hall of Fame
แหล่งที่มา: immunefi
The Whitehat Hall of Fame is an NFT collection for the world’s most acclaimed white hats. Holders of this Hall of Fame card are considered the world’s most talented and important hackers. They receive custom-designed NFTs to immortalize their contributions to Web3 security.
ทุก NFT มีความเฉพาะเจาะจงและถูกพิมพ์ขึ้นโดยเฉพาะสำหรับรายงานบั๊กที่สำคัญและประสบความสำเร็จ ผู้ถือสามารถเก็บไว้ได้โดยไม่มีค่าใช้จ่ายหรือขายไปยังผู้สะสมที่สนใจในการเฉลิมฉลองช่วงเวลาที่สำคัญในความมั่นคงของ Web3
เฉพาะคำเชิญ
ที่มา: immunefi
ImmuneFiโปรแกรมเฉพาะเชิญ ถูกออกแบบมาเพื่อเลือกเฉพาะนักวิจัยที่มีคุณภาพสูงที่สุดสำหรับโครงการ bug bounty ที่เฉพาะเจาะจง กระบวนการเลือกนี้พิจารณาความต้องการทางเทคนิคและระบบนิเวศของโครงการแต่ละโครงการเพื่อให้แน่ใจว่าความเชี่ยวชาญของนักวิจัยสอดคล้องกับความต้องการของโครงการเพื่อการตรวจสอบหรือการมุ่งมั่นต่อ bug bounty ที่มีประสิทธิภาพ
คุณสมบัติหลักของโปรแกรมนี้คือความมุ่งมั่นในการรักษาความเป็นส่วนตัวและความลับ ทีมโครงการสามารถปรับแต่งโปรโตคอลของตนเพื่อรวมข้อตกลงเฉพาะเกี่ยวกับการรักษาความลับการควบคุมการมองเห็นสินทรัพย์และการตั้งค่าที่เกี่ยวข้องกับการเผยแพร่ผลการวิจัย สิ่งนี้ทําให้มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนใด ๆ จะได้รับการจัดการอย่างปลอดภัยทําให้โครงการสามารถทํางานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยระดับสูงในขณะที่รักษามาตรฐานความเป็นส่วนตัวของพวกเขา
ด้วยการมุ่งเน้นไปที่ช่องโหว่ที่สําคัญและปัญหาด้านความปลอดภัยที่สําคัญโปรแกรมเชิญเท่านั้นจะช่วยลดกรอบเวลาที่ภัยคุกคามที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ สิ่งนี้นําไปสู่การตรวจจับและแก้ไขปัญหาด้านความปลอดภัยได้เร็วขึ้นซึ่งในที่สุดก็เพิ่มความปลอดภัยโดยรวมของโครงการบล็อกเชน
ตู้ ImmuneFi
Source: อิมมูเนฟี
ImmuneFi Vaults ได้รับการออกแบบมาเพื่อเพิ่มความโปร่งใสและความไว้วางใจระหว่าง whitehats และเจ้าของโครงการโดยช่วยให้พวกเขาจัดการสินทรัพย์และการชําระเงินของ Bug Bounty ได้อย่างปลอดภัย โครงการสามารถฝากและถอนเงินจากห้องนิรภัยของพวกเขาและยอดคงเหลือที่จัดสรรสําหรับเงินรางวัลจะปรากฏแก่ whitehats ความโปร่งใสระดับนี้ช่วยสร้างความไว้วางใจเนื่องจาก whitehats จะได้รับการสนับสนุนให้ส่งรายงานข้อผิดพลาดระดับบนสุดเนื่องจากพวกเขามั่นใจว่าโครงการมีเงินเพียงพอที่จะจ่ายสําหรับข้อบกพร่อง
โครงการสามารถตั้งค่าที่เก็บเงินได้ในเวลาไม่ถึง 10 นาที หลังจากที่ตรวจสอบรายงานข้อบกพร่องที่ถูกต้อง การชำระเงินจะถูกออกโดยตรงจากที่เก็บเงินของโครงการ ทำให้ธุรกรรมเป็นไปอย่างราบรื่นและปลอดภัย ระบบนี้ยังรวมคุณสมบัติเช่นการตรวจสอบกระเป๋าเงินเพื่อป้องกันข้อผิดพลาดหรือการชำระเงินผิด
Vaults ปัจจุบันมีบริการบน Ethereum และ Optimism และคาดว่าจะมีบนเครือข่าย EVM อื่น ๆ เช่น Polygon, Gnosis Chain และ Arbitrum โปรเจคต์สามารถฝาก stablecoins, ETH และสินทรัพย์อื่น ๆ บนรายการโทเค็นของ Uniswap ได้ พวกเขายังสามารถจ่ายเงินรางวัลด้วยสินทรัพย์หนึ่งหรือมากกว่าในธุรกรรมเดียว
ImmuneFi Safe Harbor
แหล่งที่มา:immunefi
ImmuneFi Safe Harbor เป็นเชิงระบบทางกฎหมายที่สร้างขึ้นโดย Security Alliance (SEAL) เพื่อให้ whitehats ป้องกันเงินทุนของโครงการเมื่อถูกโจมตีจาก blackhats หรือผู้กระทำที่มีความทรงจำเป็น กรอบการดำเนินงานนี้ช่วยให้พวกเขาสามารถกู้คืนเงินทุนที่เสี่ยงต่อการโจมตีเช่นนั้น และนำเงินทุนเหล่านั้นกลับไปยังที่เก็บรักษาที่ได้รับการกำหนดโดย Immunefi ในการตอบแทน นักวิจัยเหล่านี้สามารถทำรายได้ได้สูงสุดถึง 60% ของรางวัลที่สำคัญสูงสุดที่มีอยู่สำหรับโครงการ
Immunefi ยังรวม Safe Harbor เข้าสู่โปรแกรม bug bounty ที่มีอยู่แล้ว Safe Harbor ยังใช้แดชบอร์ดรายงาน bug ที่มีอยู่เดียวกัน เพื่อนําโครงการใช้ระบบเตือนฉุกเฉินและบุคลากรด้านความปลอดภัยเดียวกันที่พวกเขาสามารถใช้ได้โดยสะดวก ดังนั้น Safe Harbor จึงเป็นส่วนขยายของโปรแกรม bug bounty ของ ImmuneFi
ช่องว่างที่พบบ่อยโดยผู้แฮกเกอร์ Immune Fi
Reentrancy
ช่องโหว่ reentrancy เกิดขึ้นเมื่อสมาร์ทคอนแทรกสามารถถูกเรียกหลายครั้งก่อนที่การดำเนินการครั้งแรกจะเสร็จสิ้น สิ่งนี้ทำให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายที่เรียกสัญญาเดียวกันอย่างต่อเนื่อง ดูดเงินหรือเปลี่ยนแปลงสถานะของมัน ตัวอย่างที่มีชื่อเสียงคือการ hack DAO ในปี 2016 ซึ่งเป้าหมายที่เคยมี Ethereum network เริ่มต้น หากต้องการหลีกเลี่ยงปัญหา reentrancy นักพัฒนาสามารถใช้ reentrancy guards เพื่อป้องกันการเรียกหลายครั้งในระหว่างการดำเนินการเดียว
Oracle/การแก้ไขราคา
Price oracles feed critical market data, such as token prices, to smart contracts. Thus, oracle manipulation involves attackers exploiting these data feeds to supply false information, leading to inaccurate price calculations. For instance, tampering with the oracle allows an attacker to inflate token prices and profit during transactions. To prevent this, developers use decentralized oracles that aggregate data from multiple sources.
การควบคุมการเข้าถึงที่อ่อนแอ
ระบบส่วนใหญ่ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด เช่น สิทธิ์ตามบทบาทและการรับรองความถูกต้องที่มีประสิทธิภาพ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การควบคุมเหล่านี้ช่วยให้มั่นใจได้ว่าผู้ใช้และกระบวนการจะได้รับสิทธิ์ที่จําเป็นสําหรับบทบาทเฉพาะของตนเท่านั้น การจัดทําเอกสารความสามารถและข้อจํากัดของแต่ละบทบาทจะช่วยระบุช่องโหว่ที่อาจเกิดขึ้นทําให้การทดสอบหน่วยและการแก้ไขข้อขัดแย้งมีประสิทธิภาพมากขึ้น กระบวนการนี้ช่วยให้มั่นใจได้ว่าระบบทํางานตามที่ตั้งใจไว้ลดความเสี่ยงของช่องโหว่ที่สําคัญที่เกิดจากความประมาทเลินเล่อหรือการกําหนดค่าผิดพลาด
นอกจากนี้ สิ่งสำคัญคือการ จำกัด อำนาจของบทบาทแต่ละบทบาท การให้สิทธิ์มากเกินไปหรือการพึ่งพากับการควบคุมที่มีการควบคุมที่มีการควบคุมที่เกินไปอาจส่งผลให้เกิดความเสียหายที่สำคัญหากบัญชีหรือคีย์ส่วนตัวถูกบุกรุก การแบ่งบทบาทออกเป็นส่วนย่อย ๆ จะลดผลกระทบจากการละเมิดดังกล่าว ซึ่งจะเสริมความมั่นคงของระบบ
Frontrunning
Frontrunning เกิดขึ้นเมื่อผู้โจมตีใช้ประโยชน์จากความเป็นสาธารณะของธุรกรรมบล็อกเชน ผู้โจมตีสังเกตการณ์ธุรกรรมที่รอดำเนินการใน mempool (พื้นที่ชั่วคราวสำหรับเก็บธุรกรรมที่ยังไม่ได้รันบนบล็อกเชน) จากนั้นวางธุรกรรมของพวกเขาที่มีค่า gas fees สูงกว่าเพื่อดำเนินการก่อนที่จะถึงความสำเร็จของธุรกรรมของเหยื่อ สิ่งนี้เป็นที่พบบ่อยมากในตลาดแบบกระจายที่เวลาการดำเนินการสามารถมีผลต่อผลการซื้อขาย
โปรกซี่ที่ไม่ได้เริ่มต้น
คอนแทร็คพร็อกซี่ที่ไม่ได้เริ่มต้นเกิดขึ้นเมื่อตัวแปรการจัดเก็บภายในคอนแทร็คพร็อกซี่ไม่ได้ตั้งค่าเป็นที่ถูกต้องก่อนการใช้งาน ความขาดการกำหนดค่าที่เหมาะสมนี้อาจเป็นอันตรายต่อความปลอดภัยเนื่องจากตัวแปรที่ไม่ได้เริ่มต้นเหล่านี้อาจเก็บข้อมูลสำคัญหรือมีผลต่อฟังก์ชันหลักของคอนแทร็ค แฮกเกอร์ที่ร้ายแรงอาจประกอบด้วยช่องโหว่เหล่านี้โดยการปรับแต่งตัวแปรที่ไม่ได้เริ่มต้นเพื่อเข้าถึงโดยไม่ได้รับอนุญาต
ข่าวเกี่ยวกับ ImmuneFi
ในฉบับเดือนตุลาคม พ.ศ. 2567 ของ รายงานการสูญเสียทางด้านคริปโต, ImmuneFi แชร์สถิติที่น่าสนใจเกี่ยวกับการสูญเสียที่ชุมชนคริปโตได้เผชิญในปีนี้ ตามรายงาน ชุมชนคริปโตสูญเสียเงินสูงสุดถึง 1,400,073,177 ดอลลาร์จากการแฮ็กและการถอนรองเท้าในระหว่างเดือนตุลาคม 2024 ผ่านการเกิดเหตุการณ์ทั้งหมด 179 ครั้ง นี้เป็นการลดลง 1 เปอร์เซ็นต์จากเดือนตุลาคม 2023 เมื่อสูญเสียถึง 1,414,641,935 ดอลลาร์
ในเดือนตุลาคม ค.ศ. 2024 ชุมชนคริปโตได้ประสบความสูญเสียมากถึง 55,138,600 ดอลลาร์จากการแฮกใน 7 คดีโดยไม่มีการรายงานข้อโกหก นี่เป็นการเพิ่มขึ้น 114% จากเดือนตุลาคม ค.ศ. 2023 แต่ลดลงถึง 56.6% จากเดือนกันยายน ค.ศ. 2024 ความสูญเสียที่สำคัญที่สุดเกิดขึ้นที่ Radiant Capital (50 ล้านดอลลาร์) และ Tapioca DAO (4.4 ล้านดอลลาร์) DeFi เป็นเซ็กเตอร์เดียวที่ได้รับผลกระทบโดย BNB Chain เป็นเป้าหมายที่สำคัญที่สุดโดยมีส่วนร่วมทั้งหมด 50% ของความสูญเสียทั้งหมด ImmuneFi ได้จ่ายเงินรางวัลมากกว่า 100 ล้านดอลลาร์และประหยัดเงินของผู้ใช้มากกว่า 25 พันล้านดอลลาร์
ImmuneFiเป็นการลงทุนที่ดีหรือไม่?
ImmuneFi ได้สร้างชื่อเสียงเป็นโปรแกรม bug bounty ที่เป็นตัวนำในอุตสาหกรรมคริปโต โดยมีโปรแกรม bug bounty ขอบเขตทั่วไปและโซลูชันที่กำหนดเองเช่นโปรแกรม Invite Only ImmuneFi เป็นจุดนัดพบของแฮกเกอร์ whitehat และเจ้าของโครงการ เพื่อช่วยให้โครงการปลอดภัย ด้วยความเชี่ยวชาญทางด้านความปลอดภัยและการเข้าถึงที่ยืดหยุ่น ImmuneFi ช่วยให้โครงการสร้างระบบนิเวศที่ปลอดภัยมากขึ้น
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โคติคืออะไร? สิ่งที่คุณต้องรู้เกี่ยวกับ COTI
บทนำเกี่ยวกับ ImmuneFi: แพลตฟอร์ม Bug Bounty ชั้นนำของโลก
ImmuneFiคืออะไร?
ImmuneFi ทำงานอย่างไร?
คุณสมบัติหลักของ ImmuneFi
คลัง ImmuneFi
ImmuneFi Safe Harbor
บั๊กทั่วไปที่พบโดยนักเจาะระบบ Immune Fi
ข่าวเกี่ยวกับ ImmuneFi
ImmuneFi เป็นการลงทุนที่ดีหรือไม่?
อุตสาหกรรมบล็อกเชนไม่ใช่คนแปลกหน้าสําหรับการโจมตีส่วนใหญ่เนื่องจากจัดเก็บและปกป้องสินทรัพย์ดิจิทัลหลายพันล้านรายการ เงินกว่า 55 ล้านดอลลาร์หายไปในเดือนตุลาคมเพียงปีเดียวเนื่องจากการแฮ็กในโครงการต่างๆ เช่น Radiant Capital และ Morpho Labs แฮ็กเหล่านี้กําหนดเป้าหมายข้อบกพร่องในรหัสของโครงการดั้งเดิมโดยมองหาช่องโหว่และแบ็คดอร์เพื่อแทรกซึม
รู้จักถึงความจำเป็นของการมีระบบกระจายเพื่อลดปัญหานี้ มิตเชล อามาดอร์ ก่อตั้ง ImmuneFi เพื่อปกป้องโครงการบล็อกเชนจากข้อบกพร่องที่อาจทำให้เกิดปัญหา ไม่ว่าจะเล็กน้อยแค่ไหน ดังนั้น เราต้องเข้าใจว่า ImmuneFi ทำอะไรและมีประโยชน์อย่างไรต่อชุมชนบล็อกเชน
ImmuneFi คืออะไร?
แหล่งที่มา: อิมมูเนฟี
Immunefi เป็นแพลตฟอร์มรักษาความปลอดภัยที่ป้องกันโครงการ Web3 โดยการระบุและแก้ไขข้อบกพร่องในระบบบล็อกเชน สมาร์ทคอนแทรค และแอปพลิเคชันที่ไม่มีส่วนรวม (dApps) Bugs ก็คือข้อบกพร่องหรือจุดบกพร่องภายในรหัสของระบบ โดยพื้นฐานแล้ว ImmuneFi สร้างสรรค์ให้นักเจาะระบบแบบมีจิตสำนึกดี (white hat hackers) ค้นพบและรายงานข้อบกพร่องและตอบแทนพวกเขาตามความรุนแรงของจุดบกพร่อง
นอกจากบริการ bug bounty ของตน Immunefi ยังมีเครื่องมือต่าง ๆ เพื่อเสริมความปลอดภัยของบล็อกเชน ซึ่งรวมถึงการเป็นโฮสต์เครือข่าย การจัดการกระบวนการตรวจสอบข้อบกพร่อง และการควบคุมโปรแกรมความปลอดภัยทั้งหมดสำหรับโปรเจคต์ต่าง ๆ บริการสมาร์ทคอนแทรกต์ของพวกเขาเป็นประโยชน์มากโดยเฉพาะสำหรับการทำการทบทวนโค้ดและการตรวจจับข้อบกพร่องซึ่งช่วยป้องกันไมแล้วต่อผู้กระทำที่ไม่หวังดี Immunefi ยังมีระบบนิเวศของนักวิจัยด้านความปลอดภัยมากกว่า 35,000 คนโดยมีมากกว่า 1,000 คนได้ค้นพบข้อบกพร่องที่สำคัญบน mainnet
ประวัติศาสตร์ของ ImmuneFi
ImmuneFi ถูกสร้างขึ้นโดยMitchell Amador, ผู้ที่เปิดตัวแพลตฟอร์มเมื่อวันที่ 9 ธันวาคม 2020 ไอเดียสำหรับ ImmuneFi ถูกค้นพบโดย Amador ในระหว่างการปีนเขาในภูเขาสวิสอัลป์ในช่วงต้นปี 2020 เมื่อเขาค้นพบว่าโครงการเชื่อมโยงสกุลเงินดิจิตอลที่แตกต่างกันเกิดเหตุการติดตามความเสี่ยง เหตุการณ์นี้เน้นความเร่งด่วนของความปลอดภัยที่ดีขึ้นในพื้นที่ DeFi และ Web3 เนื่องจากไม่มีโซลูชันที่มีอยู่แก้ไขความเสี่ยงเหล่านี้
เมื่อรู้สึกตรงกับที่มีความสามารถในการจัดการกับปัญหานี้อยู่ภายในชุมชน อมาดอร์ตระหนักว่าจำเป็นต้องมีแพลตฟอร์มที่รวมรวมเพื่อปลุกกระตุ้นผู้แฮกเกอร์เพื่อช่วยป้องกันโครงการ นี่ส่งผลให้เกิด Immunefi เป็นชุดเครื่องมือ bug bounty ที่มุ่งเน้นสู่การเพิ่มความปลอดภัยของแอปพลิเคชัน Web3
ตั้งแต่จุดเริ่มต้นของมัน เอกลักษณ์ของ ImmuneFi ได้สร้างชื่อเสียงที่แข็งแกร่ง โดยเป็นพันธมิตรกับโครงการชั้นนำ เช่น Synthetix, TheGraph, โพลีกอน, MakerDAO, เน็กซัสมิวจูเอล, SushiSwap, Vesper Finance, เครือข่ายแบนคอร์, และ Chainlink. ในปัจจุบัน ImmuneFi เป็นแพลตฟอร์ม bug bounty ที่เป็นตัวนำใน Web3 รับให้บริการกับโครงการกว่า 330 โครงการ
ผลกระทบของ ImmuneFi มีความสำคัญ โดยที่แพลตฟอร์มได้รายงานเศรษฐกิจมีการออมมากกว่า 25 พันล้านดอลลาร์ในเงินของผู้ใช้จากการโจมตีที่เป็นไปได้และการจ่ายเงินรางวัลมากกว่า 100 ล้านเหรียญสหรัฐ ปัจจุบันแพลตฟอร์มเล่นบทบาทสำคัญในการป้องกันมากกว่า 190 พันล้านเหรียญสหรัฐในทรัพย์สินของผู้ใช้ การเสริมความสำคัญของความปลอดภัยที่เป็นมิตรต่อชุมชนในโลกของสกุลเงินดิจิตอลที่เปลี่ยนไปอย่างต่อเนื่อง
ImmuneFi ทำงานอย่างไร?
ImmuneFi เรียกใช้ระบบเงินรางวัลข้อผิดพลาดที่โปร่งใสซึ่งได้รับการสนับสนุนโดยกลไกฉันทามติแบบพิสูจน์แนวคิด การพิสูจน์แนวคิดคือรหัสพื้นฐานที่ใช้งานได้ซึ่งเขียนโดยหมวกสีขาวที่เน้นข้อบกพร่องในสัญญาอัจฉริยะหรือระบบบล็อกเชน มันถูกสร้างขึ้นเพื่อแสดงให้เห็นว่าข้อบกพร่องเหล่านั้นสามารถใช้ประโยชน์ได้อย่างไรโดยไม่ก่อให้เกิดปัญหาในสภาพแวดล้อมที่มีชีวิต ด้วยเหตุนี้พวกเขาจึงเป็นวิธีมาตรฐานในการแสดงหลักฐานของผลกระทบที่อาจเกิดขึ้นจากข้อบกพร่องในโครงการ พวกเขายังต้องการโดยโปรแกรมเงินรางวัลบั๊กเกือบทั้งหมดบน ImmuneFi
การดำเนินงานของ ImmuneFi เป็นที่เรียบร้อยทั้งสำหรับ whitehat hackers และเจ้าของโครงการ Whitehats เป็น ethical hackers ที่ตรวจพบและแก้ไขช่องโหว่ในระบบและซอฟต์แวร์ก่อนที่ blackhats จะนำมาใช้ในทางที่ไม่เหมาะสม ผู้ใช้ที่ไม่เหมาะสมนั้นเรียกว่า blackhats และในขณะที่พวกเขามีกิจกรรมที่ผิดกฎหมายเพื่อผลประโยชน์ส่วนบุคคล whitehats ดำเนินการในขอบเขตกฎหมายและบ่อยครั้งร่วมมือกับองค์กรเพื่อเสริมสร้างความปลอดภัยของพวกเขา
ในอีกด้านหนึ่งแฮกเกอร์ whitehat (ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ระบุและแก้ไขช่องโหว่ของระบบ) จะสํารวจตัวเลือกบั๊กมูลค่ากว่า 162 ล้านดอลลาร์จากโครงการที่มีชื่อเสียงในพื้นที่ Web3 เมื่อพวกเขาพบโปรแกรมที่ตรงกับชุดทักษะของพวกเขาผู้เข้าร่วมสามารถตรวจสอบข้อกําหนดเงินรางวัลและตรวจสอบรหัสเฉพาะที่มีสิทธิ์ได้รับการตรวจสอบ อย่างไรก็ตามเฉพาะข้อบกพร่องที่ค้นพบภายในรหัสที่ระบุในขอบเขตเงินรางวัลเท่านั้นที่จะได้รับรางวัล
หลังจากพบข้อบกพร่อง นักเจาะระบบสีขาวจะต้องสร้างบัญชีและส่งข้อบกพร่องผ่านแพลตฟอร์มบั๊ก ImmuneFi. เมื่อทีม ImmuneFi ยืนยันความถูกต้องของข้อผิดพลาดแล้ว พวกเขาจะทำงานร่วมกับนักล่าเงินรางวัลและลูกค้าเพื่อแก้ไขปัญหา หลังจากนั้นจะมีการชำระเงิน
ในฝั่งเจ้าของโครงการคุณจะต้องกรอกแบบฟอร์มเริ่มต้นการทดสอบความปลอดภัยของบั๊ก หลังจากนั้นคุณจะได้รับแบบสอบถาม ImmuneFi จะใช้คำตอบในแบบสอบถามเพื่อร่างโปรแกรม bug bounty จากนั้นโครงการจะส่งร่าง bug bounty ให้กับลูกค้าเพื่อตรวจสอบ หากทุกอย่างเป็นที่ดีก็จะมอบเงินรางวัลให้กับเจ้าของโครงการที่เป็นผู้เชี่ยวชาญในการเปิดตัว ซึ่งจะร่วมงานกับทีมการตลาดของลูกค้าเพื่อตัดสินใจถึงเวลาเปิดตัวที่ดีที่สุดและรายละเอียดการตลาดอื่น ๆ
ในฐานะผู้ให้บริการลูกค้า ImmuneFi เขียนบทวิจารณ์การแก้บั๊กสำหรับช่องโหว่เพื่อเตือนความรับผิดชอบต่อความปลอดภัยของโครงการให้กับชุมชนคริปโตที่ใหญ่ขึ้น พวกเขายังให้ความช่วยเหลือในการประชาสัมพันธ์และคำแนะนำเกี่ยวกับการสื่อสารเชิงปรับปรุงช่องโหว่อย่างมีประสิทธิภาพ
ImmuneFi ยังใช้ระบบการจำแนกความรุนแรงในการจัดการรายงานข้อบกพร่องอย่างมีประสิทธิภาพ ระบบนี้จะจัดประเภทความเสียหายที่อาจเกิดขึ้นกับเงินของผู้ใช้ ความสามารถของเครือข่าย และความปลอดภัยของโปรโตคอลโดยรวม โครงการแต่ละโครงการภายในเครือข่าย ImmuneFi จะได้รับระดับความรุนแรงที่พบในส่วน 'รางวัลตามระดับความเสี่ยง' ในหน้าโปรแกรม bug bounty ของโครงการ
เวอร์ชันล่าสุดของระบบการจำแนกความรุนแรงของช่องโหว่ของ Immunefi (v2.3)ใช้เกณฑ์สี่ระดับ: ร้ายแรง, สูง, ปานกลาง และต่ำ ช่องโหว่ที่ร้ายแรงอาจส่งผลให้เกิดปัญหาร้ายแรง เช่น การยกเลิกเครือข่ายทั้งหมดหรือการโจมตีทรัพย์สินที่สำคัญ ในขณะที่หมวดหมู่ที่ต่ำกว่าเน้นไปที่ปัญหาที่ไม่ร้ายแรงน้อย ๆ เช่น ข้อบกพร่องเล็กน้อยในสัญญาฉลาก
ระบบยังระบุพื้นที่ที่ไม่เกี่ยวข้อง เช่น ช่องโหว่ในไฟล์ทดสอบ การโจมตีที่เกี่ยวกับการบริหารจัดการ และความเสี่ยงทางเศรษฐกิจภายนอกเขตอำนาจของ ImmuneFi กรอบนี้ช่วยให้นักพัฒนาเพิ่มประสิทธิภาพในด้านความมั่นคงปลอดภัยของโครงการของพวกเขาโดยการให้แนวปฏิบัติมาตรฐานสำหรับการจัดหมวดหมู่และการแก้ไขช่องโหว่ นอกจากนี้ยังระบุการกระทำที่ห้ามทั้งหมดภายในโปรแกรม bug bounty เพื่อให้มั่นใจว่าการทดสอบความมั่นคงปลอดภัยจะเป็นไปอย่างสมควรและปลอดภัยต่อจริงจากผู้ทดสอบที่มีจริยธรรมและปลอดภัย
คุณสมบัติหลักของ ImmuneFi
ImmuneFi เป็นที่อยู่ของคุณสมบัติที่น่าสนใจหลายประการ รวมถึง:
โปรไฟล์ ImmuneFi
Source: immunefi
โปรไฟล์ ImmuneFiช่วยให้ whitehats สามารถแสดงความสำเร็จของตนเองให้กับโลก เช่น รายงานช่องโหว่ที่พวกเขาได้รายงาน รายได้ที่พวกเขาได้รับ ป้ายกำกับและรางวัลที่พวกเขาได้รับ และอันดับของพวกเขาใน ImmuneFi leaderboard
แม้ว่าจะยังคงเป็นเวอร์ชันแรก แต่โปรไฟล์จะพร้อมใช้งานสําหรับหมวกสีขาวทั้งหมดที่มีรายงานแบบชําระเงินอย่างน้อยหนึ่งฉบับเกี่ยวกับ ImmuneFi อย่างไรก็ตามในการอัปเดตที่กําลังจะมาถึงชุมชนการวิจัยทั้งหมดสามารถเข้าถึงโปรไฟล์ได้ เวอร์ชันใหม่จะมีฟีเจอร์ใหม่ๆ เช่น ฟีดการมีส่วนร่วม ซึ่งจะแสดงรายงานเมื่อเวลาผ่านไปเพื่อให้ผู้ใช้สามารถติดตามผลกระทบได้
ImmuneFi มีตราสัญลักษณ์หกอันที่จะถูกแนบไปยังโปรไฟล์ของผู้เข้าร่วม รวมถึง:
- One Of Us: ตรานี้จะได้รับเมื่อท่านทำการกรอกข้อมูลโปรไฟล์ Immunefi ของท่านเสร็จสิ้น รวมถึงลิงก์โซเชียลมีเดียทั้งหมดของท่าน
- Bought The BMW: เมื่อคุณได้รับกำไรมากกว่า $100,000 บน ImmuneFi.
- มีหญ้าข้างนอก คุณรู้ไหม: เมื่อคุณได้รับมากกว่า $1,000,000
- เพื่อนในสถานที่สูง: เมื่อคุณได้เชื่อมโยงโปรไฟล์ Immunefi ของคุณกับไบโอทวิตเตอร์ของคุณ (อาจใช้เวลาถึง 24 ชั่วโมงในการแสดงผล แต่มักจะลงทะเบียนภายใน 10 นาที)
- High Five: หลังจากได้รับรางวัล bug bounty ห้าราย บน Immunefi.
- Rocketman: เมื่อคุณระบุเงินรางวัลที่ถูกต้องจาก Boost.
ในอัปเดตภายหลังจะมีการเพิ่มตราสัญลักษณ์เพิ่มเติม การ์ดการเพิ่มความเร็วและความสำเร็จ
การตรวจสอบการแข่งขัน
แหล่งที่มา: immunefi
หนึ่ง การแข่งขันตรวจสอบเป็นการตรวจสอบรหัสที่อยู่ในช่วงเวลาที่มีรางวัลสำหรับ whitehats ที่กำหนดไว้ ระหว่างเหตุการณ์เหล่านี้ แฮกเกอร์ที่มีจริงรายงานช่องโหว่ด้านความปลอดภัยและรางวัลจะถูกจัดสรรตามผลกระทบและความรุนแรงของการค้นพบของพวกเขาตามระบบการจัดเกรดของ Immunefi
Immunefi ได้เป็นพันธมิตรกับโครงการบล็อกเชนทุกโครงการเพื่อปรับแต่งการแข่งขัน รวมถึงการตัดสินใจขนาดสระว่ายน้ำรางวัลและระยะเวลาการจัดกิจกรรม และการให้ความช่วยเหลือด้านการตลาดจากผู้เชี่ยวชาญเพื่อดึงดูดนักวิจัยที่เชี่ยวชาญ
เมื่อการแข่งขันสิ้นสุดลง ผู้เข้าร่วมจะได้รับเงินรางวัลเป็นการยินดีต่อความช่วยเหลือของพวกเขา และโครงการจะได้รับรายงานสรุปอบอุ่นที่อธิบายถึงความพบพอบพบและความเข้าใจที่ได้รับระหว่างงาน
นักพัฒนาสามารถเริ่มการแข่งขันตรวจสอบในวันหรือวันที่สอง และได้รับการอัพเดตแบบเรียลไทม์ขณะที่การแข่งขันกำลังดำเนินอยู่ นอกจากนี้ยังมีราคาที่ถูกกว่าส่วนใหญ่ของการแข่งขันในด้านตรวจสอบ มีค่าธรรมเนียมที่ถูกลง 20% และเชื่อมต่อนักพัฒนาโดยรวมกับชุมชนนักวิจัยด้านความมั่นคงของข้อมูลที่กว้างกว่าและมีความชำนาญมากขึ้น
คุณสมบัติที่น่าสังเกตอื่น ๆ คือตารางคะแนนหัวหน้าที่ช่วยให้ผู้เข้าร่วมสามารถติดตามผลงานของตนเองและเปรียบเทียบกับผู้อื่น นอกจากนี้ นักพัฒนายังสามารถรับรางวัลได้แม้ว่านักวิจัยคนอื่นจะค้นพบบั๊กก่อน รางวัลถูกแบ่งปันให้กับผู้ที่สามารถระบุปัญหาเดียวกันทั้งหมด ซึ่งจะบรรเทาความกดดันให้รีบร้อนและส่งเสริมการทำงานร่วมกัน
Whitehat Awards
แหล่งที่มา: medium
The Immunefi รางวัลแห่งวายท์แฮต ถูกออกแบบมาเพื่อเฉลิมฉลองความพยายามที่โดดเด่นของ whitehats ที่มีบทบาทสำคัญในการเสริมสร้างความปลอดภัยของ Web3 รางวัลเหล่านี้จะจำแนกบุคคลที่รายงานช่องโหว่ด้านความปลอดภัยอย่างรับผิดชอบและมอบรางวัลในรูปแบบต่าง ๆ เช่น NFTs ดิจิตอลและสินค้าหรูหรา
รางวัลนำไปตามโครงสร้างระดับ ที่กระตุ้นให้ผู้แฮ็กเกอร์เข้าถึงเป้าหมายที่แน่นอน เช่น การส่งรายงานที่มีสิทธิ์ได้รับการชำระเงินหรือการบรรลุเกณฑ์บางอย่างของเงินรางวัล เราแบ่งโครงสร้างเป็นระดับ โดยปัจจุบันแบ่งเป็นระดับเริ่มต้น สำหรับ whitehats ที่ได้รับมากกว่า 50,000 ดอลลาร์บน ImmuneFi และระดับเอลีทสำหรับผู้ที่ได้รับมากกว่า 100,000 ดอลลาร์ อย่างไรก็ตาม ระดับอื่น ๆ เช่น ระดับมาสเตอร์ (มากกว่า 1 ล้านดอลลาร์ในรายได้) และระดับแกรนด์มาสเตอร์ (มากกว่า 10 ล้านดอลลาร์ในรายได้) คาดว่าจะประกาศโดยเร็ว
คอลเลคชัน Whitehat Hall of Fame
แหล่งที่มา: immunefi
The Whitehat Hall of Fame is an NFT collection for the world’s most acclaimed white hats. Holders of this Hall of Fame card are considered the world’s most talented and important hackers. They receive custom-designed NFTs to immortalize their contributions to Web3 security.
ทุก NFT มีความเฉพาะเจาะจงและถูกพิมพ์ขึ้นโดยเฉพาะสำหรับรายงานบั๊กที่สำคัญและประสบความสำเร็จ ผู้ถือสามารถเก็บไว้ได้โดยไม่มีค่าใช้จ่ายหรือขายไปยังผู้สะสมที่สนใจในการเฉลิมฉลองช่วงเวลาที่สำคัญในความมั่นคงของ Web3
เฉพาะคำเชิญ
ที่มา: immunefi
ImmuneFiโปรแกรมเฉพาะเชิญ ถูกออกแบบมาเพื่อเลือกเฉพาะนักวิจัยที่มีคุณภาพสูงที่สุดสำหรับโครงการ bug bounty ที่เฉพาะเจาะจง กระบวนการเลือกนี้พิจารณาความต้องการทางเทคนิคและระบบนิเวศของโครงการแต่ละโครงการเพื่อให้แน่ใจว่าความเชี่ยวชาญของนักวิจัยสอดคล้องกับความต้องการของโครงการเพื่อการตรวจสอบหรือการมุ่งมั่นต่อ bug bounty ที่มีประสิทธิภาพ
คุณสมบัติหลักของโปรแกรมนี้คือความมุ่งมั่นในการรักษาความเป็นส่วนตัวและความลับ ทีมโครงการสามารถปรับแต่งโปรโตคอลของตนเพื่อรวมข้อตกลงเฉพาะเกี่ยวกับการรักษาความลับการควบคุมการมองเห็นสินทรัพย์และการตั้งค่าที่เกี่ยวข้องกับการเผยแพร่ผลการวิจัย สิ่งนี้ทําให้มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนใด ๆ จะได้รับการจัดการอย่างปลอดภัยทําให้โครงการสามารถทํางานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยระดับสูงในขณะที่รักษามาตรฐานความเป็นส่วนตัวของพวกเขา
ด้วยการมุ่งเน้นไปที่ช่องโหว่ที่สําคัญและปัญหาด้านความปลอดภัยที่สําคัญโปรแกรมเชิญเท่านั้นจะช่วยลดกรอบเวลาที่ภัยคุกคามที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ สิ่งนี้นําไปสู่การตรวจจับและแก้ไขปัญหาด้านความปลอดภัยได้เร็วขึ้นซึ่งในที่สุดก็เพิ่มความปลอดภัยโดยรวมของโครงการบล็อกเชน
ตู้ ImmuneFi
Source: อิมมูเนฟี
ImmuneFi Vaults ได้รับการออกแบบมาเพื่อเพิ่มความโปร่งใสและความไว้วางใจระหว่าง whitehats และเจ้าของโครงการโดยช่วยให้พวกเขาจัดการสินทรัพย์และการชําระเงินของ Bug Bounty ได้อย่างปลอดภัย โครงการสามารถฝากและถอนเงินจากห้องนิรภัยของพวกเขาและยอดคงเหลือที่จัดสรรสําหรับเงินรางวัลจะปรากฏแก่ whitehats ความโปร่งใสระดับนี้ช่วยสร้างความไว้วางใจเนื่องจาก whitehats จะได้รับการสนับสนุนให้ส่งรายงานข้อผิดพลาดระดับบนสุดเนื่องจากพวกเขามั่นใจว่าโครงการมีเงินเพียงพอที่จะจ่ายสําหรับข้อบกพร่อง
โครงการสามารถตั้งค่าที่เก็บเงินได้ในเวลาไม่ถึง 10 นาที หลังจากที่ตรวจสอบรายงานข้อบกพร่องที่ถูกต้อง การชำระเงินจะถูกออกโดยตรงจากที่เก็บเงินของโครงการ ทำให้ธุรกรรมเป็นไปอย่างราบรื่นและปลอดภัย ระบบนี้ยังรวมคุณสมบัติเช่นการตรวจสอบกระเป๋าเงินเพื่อป้องกันข้อผิดพลาดหรือการชำระเงินผิด
Vaults ปัจจุบันมีบริการบน Ethereum และ Optimism และคาดว่าจะมีบนเครือข่าย EVM อื่น ๆ เช่น Polygon, Gnosis Chain และ Arbitrum โปรเจคต์สามารถฝาก stablecoins, ETH และสินทรัพย์อื่น ๆ บนรายการโทเค็นของ Uniswap ได้ พวกเขายังสามารถจ่ายเงินรางวัลด้วยสินทรัพย์หนึ่งหรือมากกว่าในธุรกรรมเดียว
ImmuneFi Safe Harbor
แหล่งที่มา:immunefi
ImmuneFi Safe Harbor เป็นเชิงระบบทางกฎหมายที่สร้างขึ้นโดย Security Alliance (SEAL) เพื่อให้ whitehats ป้องกันเงินทุนของโครงการเมื่อถูกโจมตีจาก blackhats หรือผู้กระทำที่มีความทรงจำเป็น กรอบการดำเนินงานนี้ช่วยให้พวกเขาสามารถกู้คืนเงินทุนที่เสี่ยงต่อการโจมตีเช่นนั้น และนำเงินทุนเหล่านั้นกลับไปยังที่เก็บรักษาที่ได้รับการกำหนดโดย Immunefi ในการตอบแทน นักวิจัยเหล่านี้สามารถทำรายได้ได้สูงสุดถึง 60% ของรางวัลที่สำคัญสูงสุดที่มีอยู่สำหรับโครงการ
Immunefi ยังรวม Safe Harbor เข้าสู่โปรแกรม bug bounty ที่มีอยู่แล้ว Safe Harbor ยังใช้แดชบอร์ดรายงาน bug ที่มีอยู่เดียวกัน เพื่อนําโครงการใช้ระบบเตือนฉุกเฉินและบุคลากรด้านความปลอดภัยเดียวกันที่พวกเขาสามารถใช้ได้โดยสะดวก ดังนั้น Safe Harbor จึงเป็นส่วนขยายของโปรแกรม bug bounty ของ ImmuneFi
ช่องว่างที่พบบ่อยโดยผู้แฮกเกอร์ Immune Fi
Reentrancy
ช่องโหว่ reentrancy เกิดขึ้นเมื่อสมาร์ทคอนแทรกสามารถถูกเรียกหลายครั้งก่อนที่การดำเนินการครั้งแรกจะเสร็จสิ้น สิ่งนี้ทำให้ผู้โจมตีสามารถแทรกโค้ดที่เป็นอันตรายที่เรียกสัญญาเดียวกันอย่างต่อเนื่อง ดูดเงินหรือเปลี่ยนแปลงสถานะของมัน ตัวอย่างที่มีชื่อเสียงคือการ hack DAO ในปี 2016 ซึ่งเป้าหมายที่เคยมี Ethereum network เริ่มต้น หากต้องการหลีกเลี่ยงปัญหา reentrancy นักพัฒนาสามารถใช้ reentrancy guards เพื่อป้องกันการเรียกหลายครั้งในระหว่างการดำเนินการเดียว
Oracle/การแก้ไขราคา
Price oracles feed critical market data, such as token prices, to smart contracts. Thus, oracle manipulation involves attackers exploiting these data feeds to supply false information, leading to inaccurate price calculations. For instance, tampering with the oracle allows an attacker to inflate token prices and profit during transactions. To prevent this, developers use decentralized oracles that aggregate data from multiple sources.
การควบคุมการเข้าถึงที่อ่อนแอ
ระบบส่วนใหญ่ใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด เช่น สิทธิ์ตามบทบาทและการรับรองความถูกต้องที่มีประสิทธิภาพ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การควบคุมเหล่านี้ช่วยให้มั่นใจได้ว่าผู้ใช้และกระบวนการจะได้รับสิทธิ์ที่จําเป็นสําหรับบทบาทเฉพาะของตนเท่านั้น การจัดทําเอกสารความสามารถและข้อจํากัดของแต่ละบทบาทจะช่วยระบุช่องโหว่ที่อาจเกิดขึ้นทําให้การทดสอบหน่วยและการแก้ไขข้อขัดแย้งมีประสิทธิภาพมากขึ้น กระบวนการนี้ช่วยให้มั่นใจได้ว่าระบบทํางานตามที่ตั้งใจไว้ลดความเสี่ยงของช่องโหว่ที่สําคัญที่เกิดจากความประมาทเลินเล่อหรือการกําหนดค่าผิดพลาด
นอกจากนี้ สิ่งสำคัญคือการ จำกัด อำนาจของบทบาทแต่ละบทบาท การให้สิทธิ์มากเกินไปหรือการพึ่งพากับการควบคุมที่มีการควบคุมที่มีการควบคุมที่เกินไปอาจส่งผลให้เกิดความเสียหายที่สำคัญหากบัญชีหรือคีย์ส่วนตัวถูกบุกรุก การแบ่งบทบาทออกเป็นส่วนย่อย ๆ จะลดผลกระทบจากการละเมิดดังกล่าว ซึ่งจะเสริมความมั่นคงของระบบ
Frontrunning
Frontrunning เกิดขึ้นเมื่อผู้โจมตีใช้ประโยชน์จากความเป็นสาธารณะของธุรกรรมบล็อกเชน ผู้โจมตีสังเกตการณ์ธุรกรรมที่รอดำเนินการใน mempool (พื้นที่ชั่วคราวสำหรับเก็บธุรกรรมที่ยังไม่ได้รันบนบล็อกเชน) จากนั้นวางธุรกรรมของพวกเขาที่มีค่า gas fees สูงกว่าเพื่อดำเนินการก่อนที่จะถึงความสำเร็จของธุรกรรมของเหยื่อ สิ่งนี้เป็นที่พบบ่อยมากในตลาดแบบกระจายที่เวลาการดำเนินการสามารถมีผลต่อผลการซื้อขาย
โปรกซี่ที่ไม่ได้เริ่มต้น
คอนแทร็คพร็อกซี่ที่ไม่ได้เริ่มต้นเกิดขึ้นเมื่อตัวแปรการจัดเก็บภายในคอนแทร็คพร็อกซี่ไม่ได้ตั้งค่าเป็นที่ถูกต้องก่อนการใช้งาน ความขาดการกำหนดค่าที่เหมาะสมนี้อาจเป็นอันตรายต่อความปลอดภัยเนื่องจากตัวแปรที่ไม่ได้เริ่มต้นเหล่านี้อาจเก็บข้อมูลสำคัญหรือมีผลต่อฟังก์ชันหลักของคอนแทร็ค แฮกเกอร์ที่ร้ายแรงอาจประกอบด้วยช่องโหว่เหล่านี้โดยการปรับแต่งตัวแปรที่ไม่ได้เริ่มต้นเพื่อเข้าถึงโดยไม่ได้รับอนุญาต
ข่าวเกี่ยวกับ ImmuneFi
ในฉบับเดือนตุลาคม พ.ศ. 2567 ของ รายงานการสูญเสียทางด้านคริปโต, ImmuneFi แชร์สถิติที่น่าสนใจเกี่ยวกับการสูญเสียที่ชุมชนคริปโตได้เผชิญในปีนี้ ตามรายงาน ชุมชนคริปโตสูญเสียเงินสูงสุดถึง 1,400,073,177 ดอลลาร์จากการแฮ็กและการถอนรองเท้าในระหว่างเดือนตุลาคม 2024 ผ่านการเกิดเหตุการณ์ทั้งหมด 179 ครั้ง นี้เป็นการลดลง 1 เปอร์เซ็นต์จากเดือนตุลาคม 2023 เมื่อสูญเสียถึง 1,414,641,935 ดอลลาร์
ในเดือนตุลาคม ค.ศ. 2024 ชุมชนคริปโตได้ประสบความสูญเสียมากถึง 55,138,600 ดอลลาร์จากการแฮกใน 7 คดีโดยไม่มีการรายงานข้อโกหก นี่เป็นการเพิ่มขึ้น 114% จากเดือนตุลาคม ค.ศ. 2023 แต่ลดลงถึง 56.6% จากเดือนกันยายน ค.ศ. 2024 ความสูญเสียที่สำคัญที่สุดเกิดขึ้นที่ Radiant Capital (50 ล้านดอลลาร์) และ Tapioca DAO (4.4 ล้านดอลลาร์) DeFi เป็นเซ็กเตอร์เดียวที่ได้รับผลกระทบโดย BNB Chain เป็นเป้าหมายที่สำคัญที่สุดโดยมีส่วนร่วมทั้งหมด 50% ของความสูญเสียทั้งหมด ImmuneFi ได้จ่ายเงินรางวัลมากกว่า 100 ล้านดอลลาร์และประหยัดเงินของผู้ใช้มากกว่า 25 พันล้านดอลลาร์
ImmuneFiเป็นการลงทุนที่ดีหรือไม่?
ImmuneFi ได้สร้างชื่อเสียงเป็นโปรแกรม bug bounty ที่เป็นตัวนำในอุตสาหกรรมคริปโต โดยมีโปรแกรม bug bounty ขอบเขตทั่วไปและโซลูชันที่กำหนดเองเช่นโปรแกรม Invite Only ImmuneFi เป็นจุดนัดพบของแฮกเกอร์ whitehat และเจ้าของโครงการ เพื่อช่วยให้โครงการปลอดภัย ด้วยความเชี่ยวชาญทางด้านความปลอดภัยและการเข้าถึงที่ยืดหยุ่น ImmuneFi ช่วยให้โครงการสร้างระบบนิเวศที่ปลอดภัยมากขึ้น
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน