Uma Introdução ao ImmuneFi: A Principal Plataforma de Recompensa de Insetos do Mundo
A indústria de blockchain não é estranha a ataques, principalmente porque armazena e protege bilhões de ativos digitais. Apenas em outubro, mais de $55 milhões foram perdidos devido a hacks em projetos como Radiant Capital e Morpho Labs. Esses hacks visam bugs no código original do projeto, procurando brechas e portas dos fundos para se infiltrar.
Reconhecendo a necessidade de uma solução descentralizada para mitigar isso, Mitchell Amador fundou a ImmuneFi para proteger os projetos de blockchain de bugs que poderiam causar problemas, não importa quão pequenos sejam. Assim, precisamos entender o que a ImmuneFi faz e como beneficia a comunidade de blockchain.
O que é ImmuneFi?
Origem: immunefi
Immunefi é uma plataforma de segurança que protege projetos Web3 identificando e corrigindo bugs em sistemas de blockchain, contratos inteligentes e aplicativos descentralizados (dApps). Bugs são simplesmente falhas ou vulnerabilidades dentro do código de um sistema. Essencialmente, Immunefi incentiva hackers éticos a encontrar e relatar bugs e recompensá-los com base na gravidade da vulnerabilidade.
Além de seus serviços de recompensa de insetos, a Immunefi fornece várias ferramentas para aprimorar a segurança blockchain. Essas ferramentas incluem hospedagem de rede, gerenciamento do processo de triagem para relatórios de bugs e supervisão de programas de segurança completos para diferentes projetos. Seus serviços de contrato inteligente são especialmente úteis para realizar análises de código e detectar vulnerabilidades, o que ajuda a proteger contra atores maliciosos. A Immunefi também se orgulha de um ecossistema com mais de 35.000 pesquisadores de segurança, com mais de 1.000 deles tendo descoberto bugs críticos na mainnet.
História do ImmuneFi
ImmuneFi foi fundada porMitchell Amador, que lançou a plataforma em 9 de dezembro de 2020. A ideia para ImmuneFi surgiu para Amador durante uma viagem de caminhada nos Alpes Suíços no início de 2020, quando descobriu que outro projeto de criptomoeda tinha sido vítima de um incidente de hacking. Este incidente destacou a necessidade urgente de segurança aprimorada nos espaços DeFi e Web3, já que nenhuma solução existente abordava essas vulnerabilidades.
Reconhecendo que o talento para lidar com esse problema existia dentro da comunidade, Amador percebeu que uma plataforma unificadora era necessária para incentivar hackers a ajudar a proteger projetos. Isso levou à criação do Immunefi, uma plataforma de recompensa de insetos dedicada a aprimorar a segurança de aplicativos Web3.
Desde a sua criação, a ImmuneFi estabeleceu uma forte reputação, associando-se a projetos proeminentes como Synthetix, TheGraph, Polígono, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Rede Bancor, e Chainlink. Hoje, ImmuneFi é a principal plataforma de recompensa de insetos em Web3, atendendo a mais de 330 projetos.
O impacto do ImmuneFi tem sido significativo, com a plataforma reportadamente economizando mais de $25 bilhõesem fundos de usuários de hacks potenciais e distribuindo mais de $100 milhões em recompensas. Atualmente, a plataforma desempenha um papel crucial na proteção de mais de $190 bilhões em ativos de usuários, reforçando a importância da segurança impulsionada pela comunidade no mundo em constante evolução das criptomoedas.
Como o ImmuneFi funciona?
ImmuneFi opera um sistema transparente de recompensa por bugs suportado por um mecanismo de consenso de prova de conceito. Uma prova de conceito é um código básico e funcional escrito por um hacker ético destacando falhas em um contrato inteligente ou sistema blockchain. Ele é criado para mostrar como essas falhas podem ser exploradas sem causar problemas em um ambiente real. Como tal, eles servem como a maneira padrão de fornecer evidências do impacto potencial de um bug em um projeto. Eles também são exigidos por quase todos os programas de recompensa por bugs na ImmuneFi.
As operações da ImmuneFi atendem tanto aos hackers whitehat quanto aos proprietários de projetos. Whitehats são hackers éticos que identificam e corrigem vulnerabilidades em sistemas e software antes que atores maliciosos possam explorá-los. Esses atores maliciosos são conhecidos como blackhats, e enquanto eles se envolvem em atividades ilegais para ganho pessoal, whitehats operam dentro de limites legais e frequentemente colaboram com organizações para aprimorar sua segurança.
Por um lado, os hackers whitehat (profissionais de cibersegurança que identificam e corrigem vulnerabilidades do sistema) exploram uma seleção de recompensas de insetos no valor de mais de $162 milhões de projetos respeitáveis no espaço Web3. Uma vez que encontram um programa que corresponda ao seu conjunto de habilidades, os participantes podem rever os requisitos da recompensa e examinar o código específico elegível para revisão. No entanto, apenas os erros descobertos dentro do código especificado no escopo da recompensa serão recompensados.
Após encontrar um bug, o hacker whitehat deve criar uma conta e enviar o bug através do Plataforma de bugs ImmuneFi. Assim que a equipe do ImmuneFi confirmar a validade do bug, eles trabalharão de mãos dadas com o caçador de recompensas e o cliente para resolver o problema, após o qual os pagamentos serão feitos.
Do lado dos proprietários do projeto, eles teriam que preencher um formulário de integração de recompensa por bugs, após o qual receberão um questionário. O ImmuneFi usará então as respostas do questionário para elaborar um programa de recompensa por bugs. Em seguida, o projeto envia o rascunho da recompensa por bugs para o cliente revisar. Se tudo estiver bem, a recompensa é repassada ao especialista em lançamentos, que trabalhará com a equipe de marketing do cliente para decidir o melhor momento de lançamento e outros detalhes de marketing.
Como serviço ao cliente, ImmuneFi escreve revisões de correção de bugs para vulnerabilidades para lembrar a comunidade cripto maior sobre o compromisso do projeto com a segurança. Eles também fornecem assistência de RP e conselhos sobre como comunicar efetivamente as vulnerabilidades do patch.
ImmuneFi também usa um sistema de classificação de gravidadepara gerenciar relatórios de bugs de forma eficiente. Este sistema categoriza vulnerabilidades com base em seu impacto potencial nos fundos do usuário, funcionalidade da rede e segurança geral do protocolo. Cada projeto dentro da rede ImmuneFi recebe um nível de gravidade, encontrado na seção 'Recompensas por Nível de Ameaça' na página do programa de recompensa de bugs do projeto.
A última versão do Sistema de Classificação de Gravidade de Vulnerabilidades Immunefi (v2.3)usa uma escala de quatro níveis: Crítico, Alto, Médio e Baixo. As vulnerabilidades críticas podem levar a consequências graves, como interrupções totais na rede ou roubo significativo de fundos, enquanto as categorias mais baixas se concentram em problemas menos graves, como bugs menores em contratos inteligentes.
O sistema também destaca áreas consideradas fora do escopo, incluindo vulnerabilidades em arquivos de teste, ataques relacionados à governança e riscos econômicos fora da jurisdição do ImmuneFi. Esse framework ajuda os desenvolvedores a aprimorar a segurança de seus projetos, fornecendo diretrizes padrão para classificação e tratamento de vulnerabilidades. Ele também especifica todas as condutas proibidas nos programas de recompensa de insetos para garantir práticas éticas e seguras de teste de segurança.
Principais recursos do ImmuneFi
ImmuneFi é lar de diversas funcionalidades interessantes, incluindo:
Perfis do ImmuneFi
Fonte: immunefi
Perfis ImmuneFiajudar os whitehats a mostrar suas realizações para o mundo, incluindo as vulnerabilidades que eles relataram, seus ganhos, os distintivos e prêmios que eles ganharam, e sua classificação no quadro de líderes do ImmuneFi.
Embora ainda seja a primeira versão, os perfis estarão disponíveis para todos os white hats com pelo menos um relatório pago no ImmuneFi. No entanto, nas próximas atualizações, toda a comunidade de pesquisa poderá acessar os Perfis. A nova versão também incluirá novos recursos, como um Feed de Contribuição, que exibe relatórios ao longo do tempo para que os usuários possam acompanhar seu impacto.
O ImmuneFi possui seis distintivos que serão anexados ao perfil do participante. Estes incluem:
- Um de Nós: Este distintivo é concedido ao completar seu perfil do Immunefi, incluindo todos os seus links de redes sociais.
- Comprei o BMW: Quando você ganha mais de $100.000 na ImmuneFi.
- Há grama lá fora, você sabe: quando você ganhou mais de $1.000.000.
- Amigos em lugares altos: Depois de vincular seu perfil Immunefi à sua biografia do Twitter (pode levar até 24 horas para aparecer, mas geralmente registra em 10 minutos).
- High Five: Após receber cinco recompensas no Immunefi.
- Rocketman: Quando você identifica uma recompensa válida de um Boost.
Mais distintivos, cartões de impulso e conquistas serão adicionados em atualizações posteriores.
Competições de Auditoria
Origem: imunidade
Um Competição de Auditoriaé uma revisão de código sensível ao tempo com um pool de recompensa designado para whitehats. Durante esses eventos, hackers éticos relatam vulnerabilidades de segurança e as recompensas são alocadas com base no impacto e na gravidade de suas descobertas, conforme determinado pelo sistema de classificação da Immunefi.
Immunefi se associa a cada projeto de blockchain para personalizar a competição, incluindo a decisão sobre o tamanho do pool de recompensas e a duração do evento, e fornecer assistência de marketing especializada para atrair pesquisadores adeptos.
Uma vez concluída a competição, os participantes são recompensados por suas contribuições, e os projetos recebem um relatório abrangente que descreve as principais descobertas e insights obtidos durante o evento.
Os desenvolvedores podem lançar competições de auditoria em dias e obter atualizações em tempo real enquanto a competição está em andamento. Eles também são mais econômicos do que a maioria das competições de auditoria, oferecendo taxas 20% mais baratas e conectando os desenvolvedores a uma comunidade mais ampla e qualificada de pesquisadores de segurança.
Outra característica notável é a tabela de classificação, que permite aos participantes acompanhar seu desempenho e se comparar. Além disso, os desenvolvedores ainda podem receber recompensas mesmo que outro pesquisador descubra um bug primeiro. O prêmio é compartilhado entre todos que podem identificar o mesmo problema, assim aliviando a pressão para se apressar e promovendo o trabalho em equipe.
Prêmios Whitehat
Fonte:médio
O ImmunefiPrêmios Whitehatsão projetados para celebrar os esforços excepcionais dos whitehats que desempenharam um papel vital na melhoria da segurança do Web3. Esses prêmios reconhecem indivíduos por relatar responsavelmente vulnerabilidades de segurança e oferecem diferentes formas de reconhecimento, como NFTs digitais e mercadorias de luxo.
Os prêmios seguem uma estrutura escalonada, incentivando hackers a atingir metas específicas, como enviar relatórios que se qualificam para pagamento ou atingir certos limites de recompensa. Atualmente, os níveis são divididos em Iniciar Tier, para whitehats que ganharam mais de US $ 50.000 no ImmuneFi, e o Nível Elite, para aqueles que ganharam mais de US $ 100.000. No entanto, mais níveis, como o Master Tier (mais de US$ 1 milhão em ganhos) e o Grandmaster Tier (mais de US$ 10 milhões em ganhos), devem ser anunciados em breve.
Coleção do Salão da Fama Whitehat
Fonte: immunefi
O Salão da Fama dos Whitehat é uma coleção de NFTs para os white hats mais aclamados do mundo. Os detentores deste cartão do Salão da Fama são considerados os hackers mais talentosos e importantes do mundo. Eles recebem NFTs personalizados para imortalizar suas contribuições para a segurança da Web3.
Cada NFT é único e criado especificamente para cada relatório de bug significativo e bem-sucedido. Os detentores podem mantê-lo gratuitamente ou vendê-lo para colecionadores interessados em celebrar momentos históricos na segurança da Web3.
Somente convidados
Fonte: imunefi
A ImmuneFiPrograma Somente por Conviteé projetado para selecionar apenas os pesquisadores mais qualificados para projetos específicos de recompensa de insetos. Este processo de seleção considera os requisitos técnicos de cada projeto e ecossistema, garantindo que a expertise dos pesquisadores esteja alinhada com as necessidades do projeto para uma auditoria eficaz ou envolvimento em recompensas de insetos.
A principal característica deste programa é o seu compromisso em manter a privacidade e confidencialidade. As equipes do projeto podem adaptar seus protocolos para incluir acordos específicos sobre confidencialidade, controle sobre a visibilidade dos ativos e preferências relacionadas à publicação de descobertas. Isso garante que qualquer informação sensível seja tratada de forma segura, permitindo que os projetos trabalhem com especialistas em segurança de alto nível, mantendo seus padrões de privacidade.
Ao concentrar-se em vulnerabilidades críticas e problemas significativos de segurança, o Programa Somente por Convite minimiza efetivamente o período de tempo em que ameaças potenciais podem surgir. Isso leva à detecção e resolução mais rápida de problemas de segurança, melhorando assim a segurança geral do projeto de blockchain.
Cofres ImmuneFi
Origem: immunefi
Os Vaults da ImmuneFi são projetados para aumentar a transparência e a confiança entre whitehats e proprietários de projetos, ajudando-os a gerenciar de forma segura os ativos e pagamentos de recompensas de insetos. Os projetos podem depositar e sacar fundos de seus vaults, e o saldo alocado para as recompensas é visível para os whitehats. Esse nível de transparência ajuda a construir confiança, pois os whitehats serão incentivados a enviar relatórios de bugs de alta qualidade, uma vez que estão confiantes de que o projeto tem dinheiro suficiente para pagar pelos bugs.
Os projetos podem configurar seus cofres em menos de 10 minutos. Após verificar um relatório válido de bug, os pagamentos são emitidos diretamente do cofre do projeto, tornando as transações perfeitas e seguras. Esse sistema também inclui recursos como verificação de carteira para evitar erros ou pagamentos incorretos.
Os Vaults estão atualmente disponíveis no Ethereum e no Optimism, e espera-se que estejam em outras cadeias EVM, como Polygon, Gnosis Chain e Arbitrum. Os projetos podem depositar stablecoins, ETH e qualquer outro ativo na lista de tokens do Uniswap. Eles também podem pagar recompensas com um ou mais ativos em uma única transação.
Refúgio seguro da ImmuneFi
Fonte: immunefi
ImmuneFi Safe Harbor é um quadro legal criado pela Security Alliance (SEAL) para permitir que whitehats protejam os fundos de um projeto quando este está sob ataque de blackhats ou atores maliciosos. Este quadro permite-lhes recuperar fundos que estão em risco durante tais ataques e redirecionar com segurança esses fundos de volta para um Vault designado gerido pela Immunefi. Em troca, esses pesquisadores podem ganhar até 60% da recompensa crítica máxima disponível para o projeto.
Immunefi também integrou Safe Harbor nos programas de recompensa de bugs existentes. Safe Harbor também utiliza o painel de relatórios de bugs existente, para que os projetos possam usar o mesmo sistema de alerta de emergência e pessoal de segurança com os quais estão familiarizados. Assim, Safe Harbor age como uma extensão dos programas de recompensa de bugs do ImmuneFi.
Bugs Comuns Encontrados Por Hackers Imunes ao Fi
Reentrância
As vulnerabilidades de reentrância ocorrem quando um contrato inteligente pode ser chamado várias vezes antes que a primeira execução seja concluída. Isso permite que atacantes insiram código malicioso que chama repetidamente o mesmo contrato, drenando fundos ou alterando seu estado. Um exemplo famoso é o hack da DAO de 2016, que visava a rede Ethereum inicial. Para evitar problemas de reentrância, os desenvolvedores podem usar proteções de reentrância para evitar chamadas múltiplas durante uma única operação.
Oracle/Manipulação de Preço
Os oráculos de preço fornecem dados de mercado críticos, como preços de tokens, para contratos inteligentes. Assim, a manipulação do oráculo envolve atacantes explorando esses feeds de dados para fornecer informações falsas, resultando em cálculos de preços imprecisos. Por exemplo, manipular o oráculo permite a um atacante inflar os preços dos tokens e lucrar durante as transações. Para evitar isso, os desenvolvedores usam oráculos descentralizados que agregam dados de várias fontes.
Controle de Acesso Fraco
A maioria dos sistemas adota medidas rígidas de controle de acesso, como permissões baseadas em funções e autenticação robusta, para proteger contra acesso não autorizado. Esses controles garantem que usuários e processos recebam apenas as permissões necessárias para suas funções específicas. Documentar as capacidades e limitações de cada função ajuda a identificar vulnerabilidades potenciais, permitindo testes de unidade mais eficazes e resolução de conflitos. Esse processo ajuda a garantir que o sistema opere conforme o previsto, reduzindo o risco de vulnerabilidades críticas causadas por negligência ou configurações incorretas.
Além disso, é essencial limitar a autoridade de cada função. Conceder permissões excessivas ou depender muito do controle centralizado pode causar danos significativos se uma conta ou chave privada for comprometida. Dividir as funções em segmentos menores reduzirá o impacto de tais violações, aumentando a estabilidade do sistema.
Frontrunning
Frontrunning acontece quando um atacante explora a natureza pública das transações de blockchain. Atacantes observam transações pendentes no mempool (uma área temporária para armazenar transações não executadas na blockchain), e então colocam suas transações com taxas de gás mais altas para executar antes da transação da vítima. Isso é especialmente comum em exchanges descentralizadas, onde o timing pode afetar os resultados das negociações.
Proxy não inicializado
Contratos de proxy não inicializados ocorrem quando as variáveis de armazenamento dentro de um contrato de proxy não são configuradas corretamente antes do uso. Essa falta de configuração adequada pode levar a riscos de segurança, pois essas variáveis não inicializadas podem conter dados importantes ou influenciar funções-chave do contrato. Hackers maliciosos podem explorar essas vulnerabilidades, manipulando as variáveis não inicializadas para obter acesso não autorizado.
Notícias sobre ImmuneFi
Na edição de outubro de 2024 de sua relatório de perdas de criptomoedas, A ImmuneFi compartilhou algumas estatísticas interessantes sobre as perdas que a comunidade cripto enfrentou este ano. Segundo o relatório, a comunidade cripto perdeu até US$ 1.400.073.177 para hacks e rug pulls até outubro de 2024 em 179 incidentes. Isso representa uma queda de um por cento em relação a outubro de 2023, quando as perdas eram de até US$ 1.414.641.935.
Em outubro de 2024, a comunidade cripto sofreu perdas de até US$ 55.138.600 devido a hacks em sete incidentes, sem nenhuma fraude relatada.Isso marcou um aumento de 114% em relação a outubro de 2023, mas uma queda de 56,6% em relação a setembro de 2024.As perdas mais significativas foram da Radiant Capital (US$ 50 milhões) e da Tapioca DAO (US$ 4,4 milhões). O DeFi foi o único setor afetado, sendo a Rede BNB o mais visado, respondendo por 50% das perdas totais.A ImmuneFi pagou mais de US$ 100 milhões em recompensas e economizou mais de US$ 25 bilhões em fundos de usuários.
ImmuneFi é um bom investimento?
ImmuneFi construiu uma reputação como o principal programa de recompensa de insetos na indústria de criptomoedas. Oferece programas de recompensa de insetos de escopo geral e soluções personalizadas como o programa de Apenas Convidados. ImmuneFi é o ponto de encontro para hackers whitehat e proprietários de projetos, ajudando os projetos a permanecerem seguros. Como tal, com sua expertise em segurança e abordagem flexível, ImmuneFi ajuda os projetos a construir ecossistemas mais seguros.
İlgili makaleler
Como apostar ETH?
O que é Bitcoin?
O que é PolygonScan e como você pode usá-lo?
Uma Introdução ao ImmuneFi: A Principal Plataforma de Recompensa de Insetos do Mundo
O que é ImmuneFi?
Como funciona o ImmuneFi?
Principais recursos do ImmuneFi
Vaults ImmuneFi
Refúgio Seguro ImmuneFi
Bugs Comuns Encontrados Por Hackers da Immune Fi
Notícias sobre ImmuneFi
É ImmuneFi um Bom Investimento?
A indústria de blockchain não é estranha a ataques, principalmente porque armazena e protege bilhões de ativos digitais. Apenas em outubro, mais de $55 milhões foram perdidos devido a hacks em projetos como Radiant Capital e Morpho Labs. Esses hacks visam bugs no código original do projeto, procurando brechas e portas dos fundos para se infiltrar.
Reconhecendo a necessidade de uma solução descentralizada para mitigar isso, Mitchell Amador fundou a ImmuneFi para proteger os projetos de blockchain de bugs que poderiam causar problemas, não importa quão pequenos sejam. Assim, precisamos entender o que a ImmuneFi faz e como beneficia a comunidade de blockchain.
O que é ImmuneFi?
Origem: immunefi
Immunefi é uma plataforma de segurança que protege projetos Web3 identificando e corrigindo bugs em sistemas de blockchain, contratos inteligentes e aplicativos descentralizados (dApps). Bugs são simplesmente falhas ou vulnerabilidades dentro do código de um sistema. Essencialmente, Immunefi incentiva hackers éticos a encontrar e relatar bugs e recompensá-los com base na gravidade da vulnerabilidade.
Além de seus serviços de recompensa de insetos, a Immunefi fornece várias ferramentas para aprimorar a segurança blockchain. Essas ferramentas incluem hospedagem de rede, gerenciamento do processo de triagem para relatórios de bugs e supervisão de programas de segurança completos para diferentes projetos. Seus serviços de contrato inteligente são especialmente úteis para realizar análises de código e detectar vulnerabilidades, o que ajuda a proteger contra atores maliciosos. A Immunefi também se orgulha de um ecossistema com mais de 35.000 pesquisadores de segurança, com mais de 1.000 deles tendo descoberto bugs críticos na mainnet.
História do ImmuneFi
ImmuneFi foi fundada porMitchell Amador, que lançou a plataforma em 9 de dezembro de 2020. A ideia para ImmuneFi surgiu para Amador durante uma viagem de caminhada nos Alpes Suíços no início de 2020, quando descobriu que outro projeto de criptomoeda tinha sido vítima de um incidente de hacking. Este incidente destacou a necessidade urgente de segurança aprimorada nos espaços DeFi e Web3, já que nenhuma solução existente abordava essas vulnerabilidades.
Reconhecendo que o talento para lidar com esse problema existia dentro da comunidade, Amador percebeu que uma plataforma unificadora era necessária para incentivar hackers a ajudar a proteger projetos. Isso levou à criação do Immunefi, uma plataforma de recompensa de insetos dedicada a aprimorar a segurança de aplicativos Web3.
Desde a sua criação, a ImmuneFi estabeleceu uma forte reputação, associando-se a projetos proeminentes como Synthetix, TheGraph, Polígono, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Rede Bancor, e Chainlink. Hoje, ImmuneFi é a principal plataforma de recompensa de insetos em Web3, atendendo a mais de 330 projetos.
O impacto do ImmuneFi tem sido significativo, com a plataforma reportadamente economizando mais de $25 bilhõesem fundos de usuários de hacks potenciais e distribuindo mais de $100 milhões em recompensas. Atualmente, a plataforma desempenha um papel crucial na proteção de mais de $190 bilhões em ativos de usuários, reforçando a importância da segurança impulsionada pela comunidade no mundo em constante evolução das criptomoedas.
Como o ImmuneFi funciona?
ImmuneFi opera um sistema transparente de recompensa por bugs suportado por um mecanismo de consenso de prova de conceito. Uma prova de conceito é um código básico e funcional escrito por um hacker ético destacando falhas em um contrato inteligente ou sistema blockchain. Ele é criado para mostrar como essas falhas podem ser exploradas sem causar problemas em um ambiente real. Como tal, eles servem como a maneira padrão de fornecer evidências do impacto potencial de um bug em um projeto. Eles também são exigidos por quase todos os programas de recompensa por bugs na ImmuneFi.
As operações da ImmuneFi atendem tanto aos hackers whitehat quanto aos proprietários de projetos. Whitehats são hackers éticos que identificam e corrigem vulnerabilidades em sistemas e software antes que atores maliciosos possam explorá-los. Esses atores maliciosos são conhecidos como blackhats, e enquanto eles se envolvem em atividades ilegais para ganho pessoal, whitehats operam dentro de limites legais e frequentemente colaboram com organizações para aprimorar sua segurança.
Por um lado, os hackers whitehat (profissionais de cibersegurança que identificam e corrigem vulnerabilidades do sistema) exploram uma seleção de recompensas de insetos no valor de mais de $162 milhões de projetos respeitáveis no espaço Web3. Uma vez que encontram um programa que corresponda ao seu conjunto de habilidades, os participantes podem rever os requisitos da recompensa e examinar o código específico elegível para revisão. No entanto, apenas os erros descobertos dentro do código especificado no escopo da recompensa serão recompensados.
Após encontrar um bug, o hacker whitehat deve criar uma conta e enviar o bug através do Plataforma de bugs ImmuneFi. Assim que a equipe do ImmuneFi confirmar a validade do bug, eles trabalharão de mãos dadas com o caçador de recompensas e o cliente para resolver o problema, após o qual os pagamentos serão feitos.
Do lado dos proprietários do projeto, eles teriam que preencher um formulário de integração de recompensa por bugs, após o qual receberão um questionário. O ImmuneFi usará então as respostas do questionário para elaborar um programa de recompensa por bugs. Em seguida, o projeto envia o rascunho da recompensa por bugs para o cliente revisar. Se tudo estiver bem, a recompensa é repassada ao especialista em lançamentos, que trabalhará com a equipe de marketing do cliente para decidir o melhor momento de lançamento e outros detalhes de marketing.
Como serviço ao cliente, ImmuneFi escreve revisões de correção de bugs para vulnerabilidades para lembrar a comunidade cripto maior sobre o compromisso do projeto com a segurança. Eles também fornecem assistência de RP e conselhos sobre como comunicar efetivamente as vulnerabilidades do patch.
ImmuneFi também usa um sistema de classificação de gravidadepara gerenciar relatórios de bugs de forma eficiente. Este sistema categoriza vulnerabilidades com base em seu impacto potencial nos fundos do usuário, funcionalidade da rede e segurança geral do protocolo. Cada projeto dentro da rede ImmuneFi recebe um nível de gravidade, encontrado na seção 'Recompensas por Nível de Ameaça' na página do programa de recompensa de bugs do projeto.
A última versão do Sistema de Classificação de Gravidade de Vulnerabilidades Immunefi (v2.3)usa uma escala de quatro níveis: Crítico, Alto, Médio e Baixo. As vulnerabilidades críticas podem levar a consequências graves, como interrupções totais na rede ou roubo significativo de fundos, enquanto as categorias mais baixas se concentram em problemas menos graves, como bugs menores em contratos inteligentes.
O sistema também destaca áreas consideradas fora do escopo, incluindo vulnerabilidades em arquivos de teste, ataques relacionados à governança e riscos econômicos fora da jurisdição do ImmuneFi. Esse framework ajuda os desenvolvedores a aprimorar a segurança de seus projetos, fornecendo diretrizes padrão para classificação e tratamento de vulnerabilidades. Ele também especifica todas as condutas proibidas nos programas de recompensa de insetos para garantir práticas éticas e seguras de teste de segurança.
Principais recursos do ImmuneFi
ImmuneFi é lar de diversas funcionalidades interessantes, incluindo:
Perfis do ImmuneFi
Fonte: immunefi
Perfis ImmuneFiajudar os whitehats a mostrar suas realizações para o mundo, incluindo as vulnerabilidades que eles relataram, seus ganhos, os distintivos e prêmios que eles ganharam, e sua classificação no quadro de líderes do ImmuneFi.
Embora ainda seja a primeira versão, os perfis estarão disponíveis para todos os white hats com pelo menos um relatório pago no ImmuneFi. No entanto, nas próximas atualizações, toda a comunidade de pesquisa poderá acessar os Perfis. A nova versão também incluirá novos recursos, como um Feed de Contribuição, que exibe relatórios ao longo do tempo para que os usuários possam acompanhar seu impacto.
O ImmuneFi possui seis distintivos que serão anexados ao perfil do participante. Estes incluem:
- Um de Nós: Este distintivo é concedido ao completar seu perfil do Immunefi, incluindo todos os seus links de redes sociais.
- Comprei o BMW: Quando você ganha mais de $100.000 na ImmuneFi.
- Há grama lá fora, você sabe: quando você ganhou mais de $1.000.000.
- Amigos em lugares altos: Depois de vincular seu perfil Immunefi à sua biografia do Twitter (pode levar até 24 horas para aparecer, mas geralmente registra em 10 minutos).
- High Five: Após receber cinco recompensas no Immunefi.
- Rocketman: Quando você identifica uma recompensa válida de um Boost.
Mais distintivos, cartões de impulso e conquistas serão adicionados em atualizações posteriores.
Competições de Auditoria
Origem: imunidade
Um Competição de Auditoriaé uma revisão de código sensível ao tempo com um pool de recompensa designado para whitehats. Durante esses eventos, hackers éticos relatam vulnerabilidades de segurança e as recompensas são alocadas com base no impacto e na gravidade de suas descobertas, conforme determinado pelo sistema de classificação da Immunefi.
Immunefi se associa a cada projeto de blockchain para personalizar a competição, incluindo a decisão sobre o tamanho do pool de recompensas e a duração do evento, e fornecer assistência de marketing especializada para atrair pesquisadores adeptos.
Uma vez concluída a competição, os participantes são recompensados por suas contribuições, e os projetos recebem um relatório abrangente que descreve as principais descobertas e insights obtidos durante o evento.
Os desenvolvedores podem lançar competições de auditoria em dias e obter atualizações em tempo real enquanto a competição está em andamento. Eles também são mais econômicos do que a maioria das competições de auditoria, oferecendo taxas 20% mais baratas e conectando os desenvolvedores a uma comunidade mais ampla e qualificada de pesquisadores de segurança.
Outra característica notável é a tabela de classificação, que permite aos participantes acompanhar seu desempenho e se comparar. Além disso, os desenvolvedores ainda podem receber recompensas mesmo que outro pesquisador descubra um bug primeiro. O prêmio é compartilhado entre todos que podem identificar o mesmo problema, assim aliviando a pressão para se apressar e promovendo o trabalho em equipe.
Prêmios Whitehat
Fonte:médio
O ImmunefiPrêmios Whitehatsão projetados para celebrar os esforços excepcionais dos whitehats que desempenharam um papel vital na melhoria da segurança do Web3. Esses prêmios reconhecem indivíduos por relatar responsavelmente vulnerabilidades de segurança e oferecem diferentes formas de reconhecimento, como NFTs digitais e mercadorias de luxo.
Os prêmios seguem uma estrutura escalonada, incentivando hackers a atingir metas específicas, como enviar relatórios que se qualificam para pagamento ou atingir certos limites de recompensa. Atualmente, os níveis são divididos em Iniciar Tier, para whitehats que ganharam mais de US $ 50.000 no ImmuneFi, e o Nível Elite, para aqueles que ganharam mais de US $ 100.000. No entanto, mais níveis, como o Master Tier (mais de US$ 1 milhão em ganhos) e o Grandmaster Tier (mais de US$ 10 milhões em ganhos), devem ser anunciados em breve.
Coleção do Salão da Fama Whitehat
Fonte: immunefi
O Salão da Fama dos Whitehat é uma coleção de NFTs para os white hats mais aclamados do mundo. Os detentores deste cartão do Salão da Fama são considerados os hackers mais talentosos e importantes do mundo. Eles recebem NFTs personalizados para imortalizar suas contribuições para a segurança da Web3.
Cada NFT é único e criado especificamente para cada relatório de bug significativo e bem-sucedido. Os detentores podem mantê-lo gratuitamente ou vendê-lo para colecionadores interessados em celebrar momentos históricos na segurança da Web3.
Somente convidados
Fonte: imunefi
A ImmuneFiPrograma Somente por Conviteé projetado para selecionar apenas os pesquisadores mais qualificados para projetos específicos de recompensa de insetos. Este processo de seleção considera os requisitos técnicos de cada projeto e ecossistema, garantindo que a expertise dos pesquisadores esteja alinhada com as necessidades do projeto para uma auditoria eficaz ou envolvimento em recompensas de insetos.
A principal característica deste programa é o seu compromisso em manter a privacidade e confidencialidade. As equipes do projeto podem adaptar seus protocolos para incluir acordos específicos sobre confidencialidade, controle sobre a visibilidade dos ativos e preferências relacionadas à publicação de descobertas. Isso garante que qualquer informação sensível seja tratada de forma segura, permitindo que os projetos trabalhem com especialistas em segurança de alto nível, mantendo seus padrões de privacidade.
Ao concentrar-se em vulnerabilidades críticas e problemas significativos de segurança, o Programa Somente por Convite minimiza efetivamente o período de tempo em que ameaças potenciais podem surgir. Isso leva à detecção e resolução mais rápida de problemas de segurança, melhorando assim a segurança geral do projeto de blockchain.
Cofres ImmuneFi
Origem: immunefi
Os Vaults da ImmuneFi são projetados para aumentar a transparência e a confiança entre whitehats e proprietários de projetos, ajudando-os a gerenciar de forma segura os ativos e pagamentos de recompensas de insetos. Os projetos podem depositar e sacar fundos de seus vaults, e o saldo alocado para as recompensas é visível para os whitehats. Esse nível de transparência ajuda a construir confiança, pois os whitehats serão incentivados a enviar relatórios de bugs de alta qualidade, uma vez que estão confiantes de que o projeto tem dinheiro suficiente para pagar pelos bugs.
Os projetos podem configurar seus cofres em menos de 10 minutos. Após verificar um relatório válido de bug, os pagamentos são emitidos diretamente do cofre do projeto, tornando as transações perfeitas e seguras. Esse sistema também inclui recursos como verificação de carteira para evitar erros ou pagamentos incorretos.
Os Vaults estão atualmente disponíveis no Ethereum e no Optimism, e espera-se que estejam em outras cadeias EVM, como Polygon, Gnosis Chain e Arbitrum. Os projetos podem depositar stablecoins, ETH e qualquer outro ativo na lista de tokens do Uniswap. Eles também podem pagar recompensas com um ou mais ativos em uma única transação.
Refúgio seguro da ImmuneFi
Fonte: immunefi
ImmuneFi Safe Harbor é um quadro legal criado pela Security Alliance (SEAL) para permitir que whitehats protejam os fundos de um projeto quando este está sob ataque de blackhats ou atores maliciosos. Este quadro permite-lhes recuperar fundos que estão em risco durante tais ataques e redirecionar com segurança esses fundos de volta para um Vault designado gerido pela Immunefi. Em troca, esses pesquisadores podem ganhar até 60% da recompensa crítica máxima disponível para o projeto.
Immunefi também integrou Safe Harbor nos programas de recompensa de bugs existentes. Safe Harbor também utiliza o painel de relatórios de bugs existente, para que os projetos possam usar o mesmo sistema de alerta de emergência e pessoal de segurança com os quais estão familiarizados. Assim, Safe Harbor age como uma extensão dos programas de recompensa de bugs do ImmuneFi.
Bugs Comuns Encontrados Por Hackers Imunes ao Fi
Reentrância
As vulnerabilidades de reentrância ocorrem quando um contrato inteligente pode ser chamado várias vezes antes que a primeira execução seja concluída. Isso permite que atacantes insiram código malicioso que chama repetidamente o mesmo contrato, drenando fundos ou alterando seu estado. Um exemplo famoso é o hack da DAO de 2016, que visava a rede Ethereum inicial. Para evitar problemas de reentrância, os desenvolvedores podem usar proteções de reentrância para evitar chamadas múltiplas durante uma única operação.
Oracle/Manipulação de Preço
Os oráculos de preço fornecem dados de mercado críticos, como preços de tokens, para contratos inteligentes. Assim, a manipulação do oráculo envolve atacantes explorando esses feeds de dados para fornecer informações falsas, resultando em cálculos de preços imprecisos. Por exemplo, manipular o oráculo permite a um atacante inflar os preços dos tokens e lucrar durante as transações. Para evitar isso, os desenvolvedores usam oráculos descentralizados que agregam dados de várias fontes.
Controle de Acesso Fraco
A maioria dos sistemas adota medidas rígidas de controle de acesso, como permissões baseadas em funções e autenticação robusta, para proteger contra acesso não autorizado. Esses controles garantem que usuários e processos recebam apenas as permissões necessárias para suas funções específicas. Documentar as capacidades e limitações de cada função ajuda a identificar vulnerabilidades potenciais, permitindo testes de unidade mais eficazes e resolução de conflitos. Esse processo ajuda a garantir que o sistema opere conforme o previsto, reduzindo o risco de vulnerabilidades críticas causadas por negligência ou configurações incorretas.
Além disso, é essencial limitar a autoridade de cada função. Conceder permissões excessivas ou depender muito do controle centralizado pode causar danos significativos se uma conta ou chave privada for comprometida. Dividir as funções em segmentos menores reduzirá o impacto de tais violações, aumentando a estabilidade do sistema.
Frontrunning
Frontrunning acontece quando um atacante explora a natureza pública das transações de blockchain. Atacantes observam transações pendentes no mempool (uma área temporária para armazenar transações não executadas na blockchain), e então colocam suas transações com taxas de gás mais altas para executar antes da transação da vítima. Isso é especialmente comum em exchanges descentralizadas, onde o timing pode afetar os resultados das negociações.
Proxy não inicializado
Contratos de proxy não inicializados ocorrem quando as variáveis de armazenamento dentro de um contrato de proxy não são configuradas corretamente antes do uso. Essa falta de configuração adequada pode levar a riscos de segurança, pois essas variáveis não inicializadas podem conter dados importantes ou influenciar funções-chave do contrato. Hackers maliciosos podem explorar essas vulnerabilidades, manipulando as variáveis não inicializadas para obter acesso não autorizado.
Notícias sobre ImmuneFi
Na edição de outubro de 2024 de sua relatório de perdas de criptomoedas, A ImmuneFi compartilhou algumas estatísticas interessantes sobre as perdas que a comunidade cripto enfrentou este ano. Segundo o relatório, a comunidade cripto perdeu até US$ 1.400.073.177 para hacks e rug pulls até outubro de 2024 em 179 incidentes. Isso representa uma queda de um por cento em relação a outubro de 2023, quando as perdas eram de até US$ 1.414.641.935.
Em outubro de 2024, a comunidade cripto sofreu perdas de até US$ 55.138.600 devido a hacks em sete incidentes, sem nenhuma fraude relatada.Isso marcou um aumento de 114% em relação a outubro de 2023, mas uma queda de 56,6% em relação a setembro de 2024.As perdas mais significativas foram da Radiant Capital (US$ 50 milhões) e da Tapioca DAO (US$ 4,4 milhões). O DeFi foi o único setor afetado, sendo a Rede BNB o mais visado, respondendo por 50% das perdas totais.A ImmuneFi pagou mais de US$ 100 milhões em recompensas e economizou mais de US$ 25 bilhões em fundos de usuários.
ImmuneFi é um bom investimento?
ImmuneFi construiu uma reputação como o principal programa de recompensa de insetos na indústria de criptomoedas. Oferece programas de recompensa de insetos de escopo geral e soluções personalizadas como o programa de Apenas Convidados. ImmuneFi é o ponto de encontro para hackers whitehat e proprietários de projetos, ajudando os projetos a permanecerem seguros. Como tal, com sua expertise em segurança e abordagem flexível, ImmuneFi ajuda os projetos a construir ecossistemas mais seguros.
İlgili makaleler
Como apostar ETH?
O que é Bitcoin?