Gli hacker di Whitehat puntano su Ethereum, Solana e Avalanche: Immunefi

Gli hacker crypto whitehat sono principalmente interessati alla blockchain di Ethereum.

Questo è secondo una ripartizione dell'ecosistema di hacker etici compilato dalla piattaforma di bug bounty incentrata sul Web3 Immunefi nel suo 2023 rapporto, volto a mappare gli interessi, le sfide e le opportunità dei whitehat nel web3. Ma il denaro non è tutto, con la maggioranza motivata dalla risoluzione delle sfide tecniche delle applicazioni decentralizzate.

Preferenze blockchain

Ethereum è stata la preferenza schiacciante tra i whitehat, con il 92% degli intervistati attratti dalla blockchain. Solana è arrivata al secondo posto con il 31%, con Avalanche (20.4%), Cosmos (13.3%) e Tezos (8%) nella top five. Anche Polygon, Arbitrum, Optimism, Near, Polkadot, BNB Chain, Fantom e zkSync erano nel loro radar.

Tuttavia, l'interesse per Ethereum è sceso dal 96.4% del precedente sondaggio di Immunefi. Solana ha registrato il calo più significativo, in calo del 51.6%, mentre Tezos ha registrato il picco maggiore, aumentando del 122.2%.

Vettori di attacco

Gli attacchi di rientro (che consentono a parti malintenzionate di drenare ripetutamente fondi da contratti intelligenti sfruttando l'ordine di esecuzione del codice) sono stati citati come la vulnerabilità più comune scoperta dai whitehat durante la revisione del codice (43.2%), seguiti dal controllo degli accessi (18.2%), dalla convalida dell'input (9.1 %), manipolazione dell'oracolo (6.8%) ed errori logici (6.8%).

La maggior parte dei whitehat (76.1%) ha visto crescere le superfici di attacco nelle criptovalute. Tuttavia, la maggioranza (88.5%) concorda anche sul fatto che le misure di sicurezza dei progetti stanno migliorando.

Ricompense Bug Bounty

La dimensione della taglia è stata citata come il fattore principale (66.4%) per i whitehat nella selezione dei programmi di taglia, sebbene anche la fiducia, l'ambito e la comunicazione efficiente fossero molto apprezzate. 

Dopo aver pagato oltre $52 milioni nelle ricompense agli hacker etici per aver trovato vulnerabilità nei protocolli web3 l'anno scorso, Immunefi è arrivata a dominare i premi di cripto bug bounty. Al contrario, la seconda piattaforma più popolare, HackenProof, ha pagato un totale di $4.8 milioni ai cappelli bianchi.

Immunefi afferma di aver pagato più di $65 milioni in taglie totali dal 2020, contribuendo a garantire $ 25 miliardi di fondi degli utenti attraverso protocolli come Chainlink, MakerDAO, The Graph, Polygon e Synthetix. La taglia più alta agevolata da Immunefi è stata a $10 milioni premio per una vulnerabilità scoperta in Wormhole, un generico protocollo di messaggistica cross-chain. 

Il mese scorso, Immunefi segnalati che i pagamenti di crypto ransomware hanno generato più di 69.3 milioni di dollari dai primi 10 attacchi dal 2020. A gennaio, un ricercatore di sicurezza di Immunefi è stato assegnato una taglia di $ 1 milione dopo aver salvato un potenziale furto di $ 200 milioni da tre parachain Polkadot.

Demografia e stile di vita

La maggior parte dei whitehat (54%) rientra nella fascia di età sempre più dominante tra i 20 e i 29 anni, rispetto al 45.7% del periodo precedente, con il 21.2% degli intervistati tra i 30 e i 39 anni e il 12.4% tra i 40 e i 49 anni. le donne che si uniscono alla comunità degli hacker etici, in aumento dal 45.8% al 3.5%, i cappelli bianchi maschi costituiscono ancora la quota maggiore (95.5%).

La maggior parte degli intervistati ha lavorato nel settore delle criptovalute per circa quattro anni e la maggior parte (55.8%) ha considerato l'hacking il proprio lavoro principale, anche se è in calo rispetto al 60.2% del periodo precedente. Al di fuori dell'interesse per la risoluzione di sfide tecniche (77%) e l'ottenimento di ricompense finanziarie (69%), anche le opportunità di carriera (62%) e la comunità (38%) sono stati forti motivatori.

Sfide e opportunità

Alla domanda sulle maggiori sfide incontrate dai whitehats nella sicurezza web3, la maggior parte degli intervistati ha evidenziato la ripida curva di apprendimento richiesta indipendentemente dal background o dall'esperienza precedente e la necessità di maggiori risorse disponibili. La natura in rapida evoluzione della tecnologia era un altro punto dolente, insieme alla complessità della codifica, dei protocolli e dei possibili vettori di attacco di Solidity.

In termini di opportunità, gli intervistati erano entusiasti della sfida di apprendere e lavorare su nuove tecnologie, considerando il web3 un settore ben retribuito con un potenziale di carriera a lungo termine in ruoli ad alto impatto.