Sky Mavis, la société derrière Axie Infinity, offre jusqu'à 1 million de dollars à toute personne capable d'identifier les principales vulnérabilités de sécurité de sa plateforme. Cela survient après que l'entreprise a été touchée par le plus grand piratage de sécurité de l'histoire, avec plus de 600 millions de dollars drainés du pont Ronin.
Un appel aux Whitehats
Selon le site Web de la société, le programme Sky Mavis Bounty fera référence à la taxonomie Bugcrowd Vulnerability Rating . Le système aidera Sky Mavis à hiérarchiser et à évaluer les performances de sa communauté en matière de sécurité. Plus une vulnérabilité donnée est grave et perturbatrice pour l'entreprise, plus la récompense pour sa découverte est grande.
Les vulnérabilités potentielles sont divisées en deux catégories : "Smart Contracts et Blockchain" et "Web et Apps". Une liste des contrats intelligents et des applications Web éligibles à l'examen est fournie.
Les vulnérabilités de sécurité du Web et des applications offrent généralement moins d'avantages, avec un maximum de 15 000 $ offerts pour les résultats "critiques". À l'inverse, les faiblesses de la blockchain promettent des récompenses sur cinq niveaux de gravité, allant de 1 000 $ pour les résultats à risque «faible» à 1 000 000 $ pour les résultats «mortels». Ces récompenses seront payées en Axie Infinity Shards (AXS).
Le programme est cependant assorti de règles strictes et spécifiques. Par exemple, les vulnérabilités doivent inclure une preuve de concept, plutôt que de rester purement théoriques. Ils ne doivent pas nécessiter de root/jailbreak pour être menés et doivent avoir un impact tangible sur la sécurité. Les rapports provenant d'outils automatisés et d'analyses ne sont pas non plus éligibles.
Au lieu de cela, le programme donne la priorité aux problèmes tels que l'indentation et les erreurs logiques, qui incluent les erreurs d'authentification de l'utilisateur. Les problèmes de congestion/d'évolutivité, les erreurs de consensus et la manipulation de l'horodatage des blocs sont également des problèmes appropriés.
"Appeler tous les whitehats dans l'espace blockchain", a tweeté lundi Mavis Alexsander Larsen, COO de Sky. "Le programme Sky Mavis Bug Bounty est là. Aidez à protéger Ronin Network pendant que vous gagnez une prime ».
Les « hackeurs Whitehat » sont des personnes qui utilisent leurs compétences de piratage pour une bonne cause afin d'aider à informer les entreprises des failles de sécurité afin de renforcer leurs réseaux. En janvier, un hacker whitehat a rendu environ 813 000 dollars en ETH au protocole multichaîne, qui a été touché par un piratage de 2 millions de dollars la veille.
Résumé : Le Ronin Bridge Hack
À la fin du mois dernier, Ronin, la sidechain Ethereum sur laquelle opère Axie Infinity, a vu plus de 600 millions de dollars en ETH et USDC drainés de son pont blockchain. Le pirate a réussi à le faire en compromettant la plupart des nœuds de validation de Ronin.
Le piratage n'a été remarqué que 6 jours après qu'il se soit produit. Depuis lors, Sky Mavis s'emploie à récupérer les fonds volés et a promis un remboursement aux joueurs d'Axie qui ont été touchés. Cependant, il semble que le pirate obscurcisse déjà les fonds par petits lots en utilisant un service de mixage.