Secondo un nuovo rapporto pubblicato il 21 dicembre, la società di sicurezza blockchain Immunefi ha affermato di aver elaborato più di 65,918,994 dollari di criptovalute pagate ad hacker etici oltre 1,248 segnalazioni dal suo inizio il 9 dicembre 2020. I progetti Web 3.0 elencano i programmi di ricompensa su ImmuneFi per incoraggiare gli hacker whitehat a segnalare vulnerabilità e richiedere ricompense in denaro, che l'azienda quindi facilita.
I pagamenti sembrano essere concentrati in natura, con programmi di ricompense gestiti da Wormhole, Aurora, Polygon, Optimism e un'azienda non divulgata che rappresenta $ 30.2 milioni di premi nell'ultimo anno. La vincita mediana è stata di $ 2,000 e la vincita media è stata di $ 52,800. Un piccolo numero di segnalazioni di bug di vulnerabilità critiche ha ricevuto i premi più alti.
“Una taglia di $ 5,000 per una vulnerabilità critica può funzionare nel mondo web2, per esempio, ma non funziona nel mondo web3. Se la perdita diretta di fondi per una vulnerabilità web3 potrebbe arrivare fino a $ 50 milioni di dollari, allora ha senso offrire una taglia molto più grande per incentivare un buon comportamento.
In termini di notifiche di vulnerabilità, i problemi di Smart Contract hanno preso il comando, con un totale di 728 invii, pari al 58.3% delle segnalazioni a pagamento. Nel frattempo, le categorie Siti web e applicazioni e Blockchain/Distributed Ledger Technology (DLT) hanno totalizzato rispettivamente 488 invii (39.1) e 32 invii (2.6%). È interessante notare che, nonostante l'elevato numero di invii, i rapporti su siti Web e applicazioni rappresentavano solo il 2.9% dei pagamenti totali di whitehat, mentre i bug di Smart Contract rappresentavano l'89.6% dei pagamenti.
I programmi bounty hanno rilevato segnalazioni ad alta vulnerabilità, come nel caso di Pods Finance, per un errore logico che consentiva il furto di rendimento o l'abuso del sistema di ricompense sul protocollo. Un altro include la vulnerabilità di Mushrooms Finance che potrebbe essere potenzialmente sfruttata tramite un attacco di valore estraibile da miner con flash bot.
Il rapporto ha anche dedicato una parte dell'analisi del riscatto, rivelando che gli hacker malintenzionati hanno restituito 32.7 milioni di dollari in fondi guadagnati illecitamente dai protocolli di finanza decentralizzata (DeFi) in cinque situazioni specifiche nel 2022. Gli hacker hanno trattenuto 6,44 milioni di dollari in pagamenti di riscatto totali. Alcuni esperti dicono che il pagamento del riscatto agli hacker equivale a cedere all'estorsione, ma quasi tutti concordano sul fatto che sia molto meglio installare un programma di bug bounty ex ante fatto. Immunefi offre attualmente 144 milioni di dollari in ricompense tramite i progetti Web 3.0 elencati sulla piattaforma.
Fonte: https://cointelegraph.com/news/immunefi-says-it-has-facilitated-66m-in-bug-bounty-payouts-to-whitehats-since-inception