區塊鏈行業對攻擊並不陌生,主要是因為它存儲和保護數十億的數字資產。僅在十月,Radiant Capital 和 Morpho Labs 等項目遭受駭客攻擊,損失超過 5500 萬美元。這些攻擊針對原始項目代碼中的漏洞,尋找漏洞和後門來滲透。
認識到需要一個去中心化的解決方案來減輕這一問題,米切爾·阿馬多爾創立了ImmuneFi,以保護區塊鏈項目免受可能導致問題的漏洞影響,無論它們有多麼小。因此,我們需要了解ImmuneFi的功能以及它如何使區塊鏈社區受益。
ImmuneFi是什麼?
來源:immunefi
Immunefi是一個安全平台,通過識別和解決區塊鏈系統、智能合約和分散式應用(dApp)中的漏洞來保護Web3項目。漏洞只是系統代碼中的缺陷或漏洞。實質上,Immunefi鼓勵白帽駭客尋找並報告漏洞,並根據漏洞的嚴重程度獎勵他們。
除了提供漏洞賞金服務外,Immunefi 還提供各種工具來增強區塊鏈安全性。這些工具包括網絡託管、管理漏洞報告的分流過程,以及監督不同項目的整個安全程序。他們的智能合約服務尤其適用於進行代碼審查和檢測漏洞,有助於防範惡意行為者。Immunefi 還擁有超過 35,000 名安全研究人員的生態系統,其中超過 1,000 人在主網上發現了關鍵性漏洞。
ImmuneFi的歷史
ImmuneFi由創立Mitchell Amador,於2020年12月9日推出了該平台。Amador在2020年初在瑞士阿爾卑斯山徒步旅行期間,突然想到了ImmuneFi的想法。他發現另一個加密貨幣項目遭受了黑客攻擊事件。這一事件凸顯了在DeFi和Web3領域中改善安全性的迫切需求,因為目前沒有現有的解決方案能夠解決這些漏洞。
Amador意識到社區內存在應對這個問題的人才,因此意識到需要一個統一的平台來激勵黑客幫助保護項目。這促成了Immunefi的創建,這是一個專門致力於增強Web3應用安全性的漏洞賞金平台。
自推出以來,ImmuneFi已建立起良好的聲譽,並與一些知名項目合作,比如合成資產, TheGraph, Polygon, MakerDAO,Nexus Mutual,SushiSwap, Vesper Finance, Bancor Network,和Chainlink今天,ImmuneFi是Web3中領先的漏洞賞金平台,為超過330個項目提供服務。
ImmuneFi的影響非常重大,平台據報儲蓄超過$25十億美元通過防範潛在的黑客攻擊並支付超過1億美元的賞金,Gate.io保護用戶資金。目前,該平台在保護超過1900億美元的用戶資產方面發揮著至關重要的作用,在加密貨幣不斷發展的世界中,強調社區驅動的安全性的重要性。
ImmuneFi如何運作?
ImmuneFi運行著一個由概念驗證共識機制支持的透明漏洞賞金系統。概念驗證是由白帽子編寫的基本功能代碼,用於突出智能合約或區塊鏈系統中的缺陷。它的創建目的是展示如何利用這些缺陷而不在實際環境中引起問題。因此,它們被視為提供有關漏洞對項目潛在影響的證據的標準方式。在ImmuneFi的幾乎所有漏洞賞金計劃中,它們也是必需的。
ImmuneFi的運營既迎合白帽駭客,也迎合項目所有者。白帽是道德駭客,他們在惡意行為者利用之前,識別和解決系統和軟件中的漏洞。那些惡意行為者被稱為黑帽,他們從事非法活動以谋求個人利益,而白帽在法律框架內運作,並經常與組織合作以加強其安全性。
一方面,白帽子駭客(識別和修復系統漏洞的網絡安全專業人員)在Web3空間的知名項目中探索價值超過1.62億美元的漏洞賞金。一旦他們找到適合自己技能的項目,參與者可以查看賞金要求並檢查符合審查條件的具體代碼。然而,只有在賞金範圍指定的代碼中發現的漏洞才會得到獎勵。
在發現漏洞後,白帽駭客必須創建一個帳戶並通過漏洞賞金計劃提交漏洞。ImmuneFi漏洞平台一旦 ImmuneFi 團隊確認漏洞的有效性,他們將與賞金獵人和客戶攜手解決問題,之後將支付賞金。
在項目所有者方面,他們需要填寫一個漏洞賞金入職表,之後他們將收到一份問卷。ImmuneFi將根據問卷的答案來草擬一個漏洞賞金計劃。之後,項目將漏洞賞金草案發送給客戶進行審查。如果一切順利,賞金將交給發射專家,後者將與客戶的營銷團隊合作,決定最佳的發射時間和其他營銷細節。
作為客戶服務,ImmuneFi為漏洞寫入bugfix評論,以提醒更廣泛的加密社區關於該項目對安全的承諾。他們還提供公關協助和有效溝通補丁漏洞的建議。
ImmuneFi也使用了嚴重性分類系統以便高效管理漏洞報告。該系統根據漏洞對用戶資金、網絡功能和整體協議安全性的潛在影響,將其分類。ImmuneFi網絡中的每個項目都被分配了一個嚴重程度級別,在項目的漏洞賞金計劃頁面的“根據威脅級別的獎勵”部分中可以找到。
最新版本的Immunefi 漏洞嚴重性分類系統 (v2.3)使用四級刻度:危急、高、中、低。危急漏洞可能導致嚴重後果,如總網絡中斷或重大資金被盜,而較低類別則專注於較不嚴重的問題,如智能合約中的小錯誤。
系統還概述了被視為範圍之外的領域,包括測試文件中的漏洞、與治理相關的攻擊以及 ImmuneFi 管轄範圍外的經濟風險。該框架幫助開發人員通過提供分類和解決漏洞的標準指南來增強其項目的安全性。它還指定了在漏洞賞金計劃中的所有禁止行為,以確保道德和安全的安全性測試實踐。
ImmuneFi的主要特點
ImmuneFi 是一個擁有幾個有趣功能的地方,包括:
ImmuneFi Profiles
來源: immunefi
ImmuneFi 用戶資料幫助白帽子向世界展示他們的成就,包括他們報告的漏洞、他們的收入、他們獲得的徽章和獎項,以及他們在ImmuneFi排行榜上的排名。
雖然它仍然是第一個版本,但所有至少有一個付費報告的白帽子將可以在ImmuneFi上訪問個人資料。然而,在即將推出的更新中,整個研究社區都可以訪問個人資料。新版本還將包括新功能,如貢獻動態,它會隨時間顯示報告,這樣用戶可以跟踪他們的影響。
ImmuneFi有六個徽章,將附加到參與者的個人資料上。這些包括:
- 其中一個人:當您完成您的Immunefi個人檔案,包括所有社交媒體連結時,將授予此徽章。
- 買了BMW:當您在ImmuneFi上賺到超過10萬美元時。
- 你知道外面有草:當你賺了超過$1,000,000。
- 高層朋友:在將您的Immunefi個人資料鏈接到您的Twitter個人資料後(可能需要最多24小時才能顯示,但通常在10分鐘內註冊)。
- High Five: 在Immunefi上收到五個賞金後。
- Rocketman:當您從Boost中識別出一個有效的賞金時。
未來的更新中會增加更多徽章、加速卡和成就。
審計競賽
來源: immunefi
一個稽核競爭是一個對白帽子有指定獎金池的限時程式碼審查活動。在這些活動中,道德黑客報告安全漏洞,獎勵根據他們的發現對Immunefi評分系統的影響和嚴重程度分配。
Immunefi與每個區塊鏈項目合作,定制競賽,包括決定獎池大小和活動持續時間,並提供專家營銷協助,吸引熟練的研究人員。
競賽結束後,參與者將獲得對其貢獻的獎勵,並且項目將收到一份全面的摘要報告,概述了活動期間獲得的主要發現和見解。
開發人員可以在幾天內發起審計競賽,並在競賽進行中獲得即時更新。它們也比大多數審計競賽更經濟,提供了20%較低的費用,並將開發人員與更廣泛、更熟練的安全研究人員社區聯繫在一起。
另一个显着特点是排行榜,它允许参与者跟踪他们的表现并进行比较。此外,即使其他研究人员首先发现漏洞,开发人员仍然可以获得奖励。奖金将分享给所有能够识别相同问题的人,从而减轻了赶时间的压力并促进了团队合作。
白帽子獎
來源:媒介
Immunefi 白帽子獎勵旨在表彰在增強Web3安全方面發揮重要作用的白帽黑客的傑出努力。這些獎項是為了表彰那些負責任地報告安全漏洞的個人,並提供不同形式的表彰,例如數字NFT和豪華商品。
獎勵遵循分層結構,激勵駭客達成特定目標,例如提交符合支付條件的報告或達到特定賞金門檻。目前,這些層級分為初級層,適用於在ImmuneFi上賺取超過$50,000的白帽駭客,以及精英層,適用於那些賺取超過$100,000的人。然而,預計很快將宣布更多層級,例如大師層(超過$1百萬收益)和宗師層(超過$10百萬收益)。
白帽大廳名人堂收藏
來源:immunefi
白帽名人堂是一個 NFT 收藏,專為全球最著名的白帽駭客而設。持有這張名人堂卡的人被認為是世界上最有才華和重要的駭客。他們獲得定制設計的 NFT,以永恆地紀念他們對 Web3 安全的貢獻。
每個 NFT 都是獨一無二的,並且為每個重要且成功的漏洞報告專門鑄造。持有者可以免費保留它,或將其出售給對慶祝 Web3 安全歷史時刻感興趣的收藏家。
邀請制
來源:immunefi
ImmuneFi邀請制計劃旨在僅選擇最合格的研究人員參與特定的漏洞賞金項目。此選擇過程考慮了每個項目的技術要求和生態系統,確保研究人員的專業知識與項目對於有效的審核或漏洞賞金參與的需求相契合。
本計畫的主要特點是致力於保護隱私和保密性。項目團隊可以根據具體協議定制其協議,包括有關保密性、資產可見性控制以及與發現結果相關的偏好。這確保了敏感信息的安全處理,使項目能夠與頂級安全專家合作,同時維護其隱私標準。
透過專注於重要漏洞和重大安全問題,Invite-Only計劃有效地將潛在威脅出現的時間框架最小化。這導致更快地檢測和解決安全問題,從而最終增強區塊鏈項目的整體安全性。
ImmuneFi Vaults
來源:immunefi
ImmuneFi Vaults 旨在通過幫助他們安全地管理漏洞賞金資產和支付來增加白帽子與項目所有者之間的透明度和信任。項目可以從他們的金庫存款和提款,而為賞金分配的餘額對白帽子可見。這種透明度水平有助於建立信任,因為白帽子會被鼓勵提交頂級漏洞報告,因為他們確信項目有足夠的資金支付漏洞。
項目可以在不到10分鐘的時間內設置他們的保險庫。在驗證有效的漏洞報告後,支付直接從項目的保險庫發出,使交易順暢且安全。該系統還包括錢包驗證等功能,以防止錯誤或錯誤支付。
Vaults目前可在Ethereum和Optimism上使用,並預計擴展到Polygon、Gnosis Chain和Arbitrum等其他EVM鏈。項目可以存入穩定幣、ETH和Uniswap的代幣清單上的任何其他資產。它們還可以在單筆交易中支付一個或多個資產的獎勵。
ImmuneFi 安全港
來源:immunefi
ImmuneFi Safe Harbor是由Security Alliance(SEAL)創建的法律框架,旨在使白帽子能夠在項目受到黑帽子或惡意行為者的攻擊時保護項目的資金。該框架允許他們在此類攻擊期間恢復風險資金,並將這些資金安全地重新導向由Immunefi管理的指定金庫。作為回報,這些研究人員可以賺取項目可獲得的最高獎勵的最多60%。
Immunefi還將Safe Harbor整合到現有的漏洞賞金計劃中。Safe Harbor還使用現有的漏洞報告儀表板,因此項目可以使用與其熟悉的同一個緊急警報系統和安全人員。因此,Safe Harbor充當了Immunefi漏洞賞金計劃的擴展。
Immune Fi黑客發現的常見漏洞
重入性
重新入侵漏洞是指在第一次執行完成之前,智能合約可以被多次調用的情況。這使得攻擊者可以插入惡意代碼,重複調用同一個合約,從而耗盡資金或更改其狀態。一個著名的例子是2016年DAO黑客事件,該事件針對早期的以太坊網絡。為了避免重新入侵問題,開發人員可以使用重新入侵防護措施,以防止在單個操作期間進行多次調用。
Oracle/價格操縱
價格預言機提供關鍵的市場數據,例如代幣價格,給智能合約。因此,預言機操控涉及攻擊者利用這些數據源提供虛假信息,導致不準確的價格計算。例如,篡改預言機可以讓攻擊者通過交易中通脹代幣價格並獲利。為防止這種情況,開發人員使用從多個來源匯總數據的去中心化預言機。
弱存取控制
大多數系統採用嚴格的存取控制措施,例如基於角色的權限和強大的身份驗證,以防止未經授權的訪問。這些控制措施確保僅為特定角色授予用於其特定角色的權限。記錄每個角色的能力和限制有助於識別潛在的漏洞,從而實現更有效的單元測試和衝突解決。該過程有助於確保系統按照預期運行,減少因疏忽或配置錯誤而導致的重大漏洞風險。
此外,限制每个角色的权限至关重要。如果授予过多的权限或过度依赖集中控制,如果帐户或私钥被攻破,可能会造成重大损失。将角色分解成较小的部分将减少此类漏洞的影响,增强系统的稳定性。
龍頭套利
龍頭交易發生在攻擊者利用區塊鏈交易的公開性時。攻擊者觀察交易池中待處理的交易(區塊鏈上存儲未執行交易的臨時區域),然後以更高的燃氣費用放置他們的交易,以在受害者的交易之前執行。這在去中心化交易所中特別常見,因為時機可能會影響交易結果。
未初始化的代理
當代理合約中的存儲變量在使用之前未正確設置時,將發生未初始化的代理合約。由於缺乏正確的配置,這可能導致安全風險,因為這些未初始化的變量可能保存重要數據或影響關鍵合約功能。惡意黑客可以利用這些漏洞,操縱未初始化的變量以獲得未經授權的訪問。
關於 ImmuneFi 的新聞
在2024年10月版的加密貨幣損失報告,ImmuneFi分享了一些關於加密社區今年面臨的損失的有趣統計數據。根據該報告,截至 2024 年 10 月,加密社區在 179 起事件中因駭客攻擊和地毯拉扯而損失高達 1,400,073,177 美元。這比 2023 年 10 月減少了 1%,當時損失高達 1,414,641,935 美元。
2024 年 10 月,由於七起事件中的駭客攻擊,加密社區遭受了高達 55,138,600 美元的損失,沒有欺詐報告。這比 2023 年 10 月增加了 114%,但比 2024 年 9 月減少了 56.6%。損失最大的是Radiant Capital(5000萬美元)和Tapioca DAO(440萬美元)。DeFi是唯一受影響的行業,BNB鏈是最有針對性的,佔總損失的50%。ImmuneFi已經支付了超過1億美元的賞金,並節省了超過250億美元的用戶資金。
ImmuneFi是一個好的投資嗎?
ImmuneFi在加密行業建立了領先的漏洞賞金計劃的聲譽。它提供了一般範圍的漏洞賞金計劃和像僅限邀請的計劃等量身定制的解決方案。 ImmuneFi是白帽駭客和項目所有者的會合點,幫助項目保持安全。因此,憑藉其安全專業知識和靈活的方法,ImmuneFi幫助項目構建更安全的生態系統。
相關文章
如何質押 ETH?
什麼是穩定幣 USDT?
ImmuneFi 是什麼?
ImmuneFi如何工作?
ImmuneFi的主要特點
ImmuneFi 金庫
ImmuneFi安全港
Immune Fi駭客發現的常見漏洞
關於 ImmuneFi 的新聞
ImmuneFi是一個好的投資嗎?
區塊鏈行業對攻擊並不陌生,主要是因為它存儲和保護數十億的數字資產。僅在十月,Radiant Capital 和 Morpho Labs 等項目遭受駭客攻擊,損失超過 5500 萬美元。這些攻擊針對原始項目代碼中的漏洞,尋找漏洞和後門來滲透。
認識到需要一個去中心化的解決方案來減輕這一問題,米切爾·阿馬多爾創立了ImmuneFi,以保護區塊鏈項目免受可能導致問題的漏洞影響,無論它們有多麼小。因此,我們需要了解ImmuneFi的功能以及它如何使區塊鏈社區受益。
ImmuneFi是什麼?
來源:immunefi
Immunefi是一個安全平台,通過識別和解決區塊鏈系統、智能合約和分散式應用(dApp)中的漏洞來保護Web3項目。漏洞只是系統代碼中的缺陷或漏洞。實質上,Immunefi鼓勵白帽駭客尋找並報告漏洞,並根據漏洞的嚴重程度獎勵他們。
除了提供漏洞賞金服務外,Immunefi 還提供各種工具來增強區塊鏈安全性。這些工具包括網絡託管、管理漏洞報告的分流過程,以及監督不同項目的整個安全程序。他們的智能合約服務尤其適用於進行代碼審查和檢測漏洞,有助於防範惡意行為者。Immunefi 還擁有超過 35,000 名安全研究人員的生態系統,其中超過 1,000 人在主網上發現了關鍵性漏洞。
ImmuneFi的歷史
ImmuneFi由創立Mitchell Amador,於2020年12月9日推出了該平台。Amador在2020年初在瑞士阿爾卑斯山徒步旅行期間,突然想到了ImmuneFi的想法。他發現另一個加密貨幣項目遭受了黑客攻擊事件。這一事件凸顯了在DeFi和Web3領域中改善安全性的迫切需求,因為目前沒有現有的解決方案能夠解決這些漏洞。
Amador意識到社區內存在應對這個問題的人才,因此意識到需要一個統一的平台來激勵黑客幫助保護項目。這促成了Immunefi的創建,這是一個專門致力於增強Web3應用安全性的漏洞賞金平台。
自推出以來,ImmuneFi已建立起良好的聲譽,並與一些知名項目合作,比如合成資產, TheGraph, Polygon, MakerDAO,Nexus Mutual,SushiSwap, Vesper Finance, Bancor Network,和Chainlink今天,ImmuneFi是Web3中領先的漏洞賞金平台,為超過330個項目提供服務。
ImmuneFi的影響非常重大,平台據報儲蓄超過$25十億美元通過防範潛在的黑客攻擊並支付超過1億美元的賞金,Gate.io保護用戶資金。目前,該平台在保護超過1900億美元的用戶資產方面發揮著至關重要的作用,在加密貨幣不斷發展的世界中,強調社區驅動的安全性的重要性。
ImmuneFi如何運作?
ImmuneFi運行著一個由概念驗證共識機制支持的透明漏洞賞金系統。概念驗證是由白帽子編寫的基本功能代碼,用於突出智能合約或區塊鏈系統中的缺陷。它的創建目的是展示如何利用這些缺陷而不在實際環境中引起問題。因此,它們被視為提供有關漏洞對項目潛在影響的證據的標準方式。在ImmuneFi的幾乎所有漏洞賞金計劃中,它們也是必需的。
ImmuneFi的運營既迎合白帽駭客,也迎合項目所有者。白帽是道德駭客,他們在惡意行為者利用之前,識別和解決系統和軟件中的漏洞。那些惡意行為者被稱為黑帽,他們從事非法活動以谋求個人利益,而白帽在法律框架內運作,並經常與組織合作以加強其安全性。
一方面,白帽子駭客(識別和修復系統漏洞的網絡安全專業人員)在Web3空間的知名項目中探索價值超過1.62億美元的漏洞賞金。一旦他們找到適合自己技能的項目,參與者可以查看賞金要求並檢查符合審查條件的具體代碼。然而,只有在賞金範圍指定的代碼中發現的漏洞才會得到獎勵。
在發現漏洞後,白帽駭客必須創建一個帳戶並通過漏洞賞金計劃提交漏洞。ImmuneFi漏洞平台一旦 ImmuneFi 團隊確認漏洞的有效性,他們將與賞金獵人和客戶攜手解決問題,之後將支付賞金。
在項目所有者方面,他們需要填寫一個漏洞賞金入職表,之後他們將收到一份問卷。ImmuneFi將根據問卷的答案來草擬一個漏洞賞金計劃。之後,項目將漏洞賞金草案發送給客戶進行審查。如果一切順利,賞金將交給發射專家,後者將與客戶的營銷團隊合作,決定最佳的發射時間和其他營銷細節。
作為客戶服務,ImmuneFi為漏洞寫入bugfix評論,以提醒更廣泛的加密社區關於該項目對安全的承諾。他們還提供公關協助和有效溝通補丁漏洞的建議。
ImmuneFi也使用了嚴重性分類系統以便高效管理漏洞報告。該系統根據漏洞對用戶資金、網絡功能和整體協議安全性的潛在影響,將其分類。ImmuneFi網絡中的每個項目都被分配了一個嚴重程度級別,在項目的漏洞賞金計劃頁面的“根據威脅級別的獎勵”部分中可以找到。
最新版本的Immunefi 漏洞嚴重性分類系統 (v2.3)使用四級刻度:危急、高、中、低。危急漏洞可能導致嚴重後果,如總網絡中斷或重大資金被盜,而較低類別則專注於較不嚴重的問題,如智能合約中的小錯誤。
系統還概述了被視為範圍之外的領域,包括測試文件中的漏洞、與治理相關的攻擊以及 ImmuneFi 管轄範圍外的經濟風險。該框架幫助開發人員通過提供分類和解決漏洞的標準指南來增強其項目的安全性。它還指定了在漏洞賞金計劃中的所有禁止行為,以確保道德和安全的安全性測試實踐。
ImmuneFi的主要特點
ImmuneFi 是一個擁有幾個有趣功能的地方,包括:
ImmuneFi Profiles
來源: immunefi
ImmuneFi 用戶資料幫助白帽子向世界展示他們的成就,包括他們報告的漏洞、他們的收入、他們獲得的徽章和獎項,以及他們在ImmuneFi排行榜上的排名。
雖然它仍然是第一個版本,但所有至少有一個付費報告的白帽子將可以在ImmuneFi上訪問個人資料。然而,在即將推出的更新中,整個研究社區都可以訪問個人資料。新版本還將包括新功能,如貢獻動態,它會隨時間顯示報告,這樣用戶可以跟踪他們的影響。
ImmuneFi有六個徽章,將附加到參與者的個人資料上。這些包括:
- 其中一個人:當您完成您的Immunefi個人檔案,包括所有社交媒體連結時,將授予此徽章。
- 買了BMW:當您在ImmuneFi上賺到超過10萬美元時。
- 你知道外面有草:當你賺了超過$1,000,000。
- 高層朋友:在將您的Immunefi個人資料鏈接到您的Twitter個人資料後(可能需要最多24小時才能顯示,但通常在10分鐘內註冊)。
- High Five: 在Immunefi上收到五個賞金後。
- Rocketman:當您從Boost中識別出一個有效的賞金時。
未來的更新中會增加更多徽章、加速卡和成就。
審計競賽
來源: immunefi
一個稽核競爭是一個對白帽子有指定獎金池的限時程式碼審查活動。在這些活動中,道德黑客報告安全漏洞,獎勵根據他們的發現對Immunefi評分系統的影響和嚴重程度分配。
Immunefi與每個區塊鏈項目合作,定制競賽,包括決定獎池大小和活動持續時間,並提供專家營銷協助,吸引熟練的研究人員。
競賽結束後,參與者將獲得對其貢獻的獎勵,並且項目將收到一份全面的摘要報告,概述了活動期間獲得的主要發現和見解。
開發人員可以在幾天內發起審計競賽,並在競賽進行中獲得即時更新。它們也比大多數審計競賽更經濟,提供了20%較低的費用,並將開發人員與更廣泛、更熟練的安全研究人員社區聯繫在一起。
另一个显着特点是排行榜,它允许参与者跟踪他们的表现并进行比较。此外,即使其他研究人员首先发现漏洞,开发人员仍然可以获得奖励。奖金将分享给所有能够识别相同问题的人,从而减轻了赶时间的压力并促进了团队合作。
白帽子獎
來源:媒介
Immunefi 白帽子獎勵旨在表彰在增強Web3安全方面發揮重要作用的白帽黑客的傑出努力。這些獎項是為了表彰那些負責任地報告安全漏洞的個人,並提供不同形式的表彰,例如數字NFT和豪華商品。
獎勵遵循分層結構,激勵駭客達成特定目標,例如提交符合支付條件的報告或達到特定賞金門檻。目前,這些層級分為初級層,適用於在ImmuneFi上賺取超過$50,000的白帽駭客,以及精英層,適用於那些賺取超過$100,000的人。然而,預計很快將宣布更多層級,例如大師層(超過$1百萬收益)和宗師層(超過$10百萬收益)。
白帽大廳名人堂收藏
來源:immunefi
白帽名人堂是一個 NFT 收藏,專為全球最著名的白帽駭客而設。持有這張名人堂卡的人被認為是世界上最有才華和重要的駭客。他們獲得定制設計的 NFT,以永恆地紀念他們對 Web3 安全的貢獻。
每個 NFT 都是獨一無二的,並且為每個重要且成功的漏洞報告專門鑄造。持有者可以免費保留它,或將其出售給對慶祝 Web3 安全歷史時刻感興趣的收藏家。
邀請制
來源:immunefi
ImmuneFi邀請制計劃旨在僅選擇最合格的研究人員參與特定的漏洞賞金項目。此選擇過程考慮了每個項目的技術要求和生態系統,確保研究人員的專業知識與項目對於有效的審核或漏洞賞金參與的需求相契合。
本計畫的主要特點是致力於保護隱私和保密性。項目團隊可以根據具體協議定制其協議,包括有關保密性、資產可見性控制以及與發現結果相關的偏好。這確保了敏感信息的安全處理,使項目能夠與頂級安全專家合作,同時維護其隱私標準。
透過專注於重要漏洞和重大安全問題,Invite-Only計劃有效地將潛在威脅出現的時間框架最小化。這導致更快地檢測和解決安全問題,從而最終增強區塊鏈項目的整體安全性。
ImmuneFi Vaults
來源:immunefi
ImmuneFi Vaults 旨在通過幫助他們安全地管理漏洞賞金資產和支付來增加白帽子與項目所有者之間的透明度和信任。項目可以從他們的金庫存款和提款,而為賞金分配的餘額對白帽子可見。這種透明度水平有助於建立信任,因為白帽子會被鼓勵提交頂級漏洞報告,因為他們確信項目有足夠的資金支付漏洞。
項目可以在不到10分鐘的時間內設置他們的保險庫。在驗證有效的漏洞報告後,支付直接從項目的保險庫發出,使交易順暢且安全。該系統還包括錢包驗證等功能,以防止錯誤或錯誤支付。
Vaults目前可在Ethereum和Optimism上使用,並預計擴展到Polygon、Gnosis Chain和Arbitrum等其他EVM鏈。項目可以存入穩定幣、ETH和Uniswap的代幣清單上的任何其他資產。它們還可以在單筆交易中支付一個或多個資產的獎勵。
ImmuneFi 安全港
來源:immunefi
ImmuneFi Safe Harbor是由Security Alliance(SEAL)創建的法律框架,旨在使白帽子能夠在項目受到黑帽子或惡意行為者的攻擊時保護項目的資金。該框架允許他們在此類攻擊期間恢復風險資金,並將這些資金安全地重新導向由Immunefi管理的指定金庫。作為回報,這些研究人員可以賺取項目可獲得的最高獎勵的最多60%。
Immunefi還將Safe Harbor整合到現有的漏洞賞金計劃中。Safe Harbor還使用現有的漏洞報告儀表板,因此項目可以使用與其熟悉的同一個緊急警報系統和安全人員。因此,Safe Harbor充當了Immunefi漏洞賞金計劃的擴展。
Immune Fi黑客發現的常見漏洞
重入性
重新入侵漏洞是指在第一次執行完成之前,智能合約可以被多次調用的情況。這使得攻擊者可以插入惡意代碼,重複調用同一個合約,從而耗盡資金或更改其狀態。一個著名的例子是2016年DAO黑客事件,該事件針對早期的以太坊網絡。為了避免重新入侵問題,開發人員可以使用重新入侵防護措施,以防止在單個操作期間進行多次調用。
Oracle/價格操縱
價格預言機提供關鍵的市場數據,例如代幣價格,給智能合約。因此,預言機操控涉及攻擊者利用這些數據源提供虛假信息,導致不準確的價格計算。例如,篡改預言機可以讓攻擊者通過交易中通脹代幣價格並獲利。為防止這種情況,開發人員使用從多個來源匯總數據的去中心化預言機。
弱存取控制
大多數系統採用嚴格的存取控制措施,例如基於角色的權限和強大的身份驗證,以防止未經授權的訪問。這些控制措施確保僅為特定角色授予用於其特定角色的權限。記錄每個角色的能力和限制有助於識別潛在的漏洞,從而實現更有效的單元測試和衝突解決。該過程有助於確保系統按照預期運行,減少因疏忽或配置錯誤而導致的重大漏洞風險。
此外,限制每个角色的权限至关重要。如果授予过多的权限或过度依赖集中控制,如果帐户或私钥被攻破,可能会造成重大损失。将角色分解成较小的部分将减少此类漏洞的影响,增强系统的稳定性。
龍頭套利
龍頭交易發生在攻擊者利用區塊鏈交易的公開性時。攻擊者觀察交易池中待處理的交易(區塊鏈上存儲未執行交易的臨時區域),然後以更高的燃氣費用放置他們的交易,以在受害者的交易之前執行。這在去中心化交易所中特別常見,因為時機可能會影響交易結果。
未初始化的代理
當代理合約中的存儲變量在使用之前未正確設置時,將發生未初始化的代理合約。由於缺乏正確的配置,這可能導致安全風險,因為這些未初始化的變量可能保存重要數據或影響關鍵合約功能。惡意黑客可以利用這些漏洞,操縱未初始化的變量以獲得未經授權的訪問。
關於 ImmuneFi 的新聞
在2024年10月版的加密貨幣損失報告,ImmuneFi分享了一些關於加密社區今年面臨的損失的有趣統計數據。根據該報告,截至 2024 年 10 月,加密社區在 179 起事件中因駭客攻擊和地毯拉扯而損失高達 1,400,073,177 美元。這比 2023 年 10 月減少了 1%,當時損失高達 1,414,641,935 美元。
2024 年 10 月,由於七起事件中的駭客攻擊,加密社區遭受了高達 55,138,600 美元的損失,沒有欺詐報告。這比 2023 年 10 月增加了 114%,但比 2024 年 9 月減少了 56.6%。損失最大的是Radiant Capital(5000萬美元)和Tapioca DAO(440萬美元)。DeFi是唯一受影響的行業,BNB鏈是最有針對性的,佔總損失的50%。ImmuneFi已經支付了超過1億美元的賞金,並節省了超過250億美元的用戶資金。
ImmuneFi是一個好的投資嗎?
ImmuneFi在加密行業建立了領先的漏洞賞金計劃的聲譽。它提供了一般範圍的漏洞賞金計劃和像僅限邀請的計劃等量身定制的解決方案。 ImmuneFi是白帽駭客和項目所有者的會合點,幫助項目保持安全。因此,憑藉其安全專業知識和靈活的方法,ImmuneFi幫助項目構建更安全的生態系統。
相關文章
如何質押 ETH?