Una introducción a ImmuneFi: la plataforma de recompensa por fallos líder del mundo
La industria de la cadena de bloques no es ajena a los ataques, principalmente porque almacena y protege miles de millones de activos digitales. Solo en octubre se perdieron más de $55 millones debido a ataques a proyectos como Radiant Capital y Morpho Labs. Estos ataques se dirigen a los errores en el código original del proyecto, buscando lagunas y puertas traseras para infiltrarse.
Reconociendo la necesidad de una solución descentralizada para mitigar esto, Mitchell Amador fundó ImmuneFi para proteger los proyectos de blockchain de los errores que podrían causar problemas, sin importar lo pequeños que sean. Por lo tanto, necesitamos entender qué hace ImmuneFi y cómo beneficia a la comunidad de blockchain.
¿Qué es ImmuneFi?
Fuente: immunefi
Immunefi es una plataforma de seguridad que protege proyectos Web3 mediante la identificación y solución de fallos en sistemas blockchain, contratos inteligentes y aplicaciones descentralizadas (dApps). Los fallos son simplemente errores o vulnerabilidades en el código de un sistema. Básicamente, ImmuneFi incentiva a los hackers éticos a encontrar y reportar fallos y los recompensa según la gravedad de la vulnerabilidad.
Además de sus servicios de recompensa por fallos, Immunefi ofrece diversas herramientas para mejorar la seguridad en la blockchain. Estas herramientas incluyen alojamiento de red, gestión del proceso de triaje para informes de fallos y supervisión de programas de seguridad completos para diferentes proyectos. Sus servicios de contratos inteligentes son especialmente útiles para realizar revisiones de código y detectar vulnerabilidades, lo que ayuda a protegerse contra actores malintencionados. Immunefi también cuenta con un ecosistema de más de 35 000 investigadores de seguridad, y más de 1 000 de ellos han descubierto fallos críticos en la red principal.
Historia de ImmuneFi
ImmuneFi fue fundada porMitchell Amador, quien lanzó la plataforma el 9 de diciembre de 2020. La idea de ImmuneFi surgió a Amador durante un viaje de senderismo en los Alpes suizos a principios de 2020, cuando descubrió que otro proyecto de criptomonedas había sido víctima de un incidente de piratería. Este incidente resaltó la necesidad urgente de mejorar la seguridad en los espacios de DeFi y Web3, ya que no existían soluciones que abordaran estas vulnerabilidades.
Reconociendo que el talento para abordar este problema existía dentro de la comunidad, Amador se dio cuenta de que era necesario una plataforma unificadora para incentivar a los hackers a ayudar a proteger los proyectos. Esto llevó a la creación de Immunefi, una plataforma de recompensa por fallos dedicada a mejorar la seguridad de las aplicaciones Web3.
Desde su creación, ImmuneFi ha establecido una sólida reputación, asociándose con proyectos destacados como Synthetix, TheGraph, Polígono, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Red Bancor, y ChainlinkHoy en día, ImmuneFi es la plataforma líder de recompensa por fallos en Web3, que presta servicio a más de 330 proyectos.
El impacto de ImmuneFi ha sido significativo, con la plataforma informando supuestamente ahorrar más de $25 mil millonesprotegiendo los fondos de los usuarios de posibles hackeos y distribuyendo más de $100 millones en recompensas por fallos. Actualmente, la plataforma desempeña un papel crucial en la protección de más de $190 mil millones en activos de usuarios, reforzando la importancia de la seguridad impulsada por la comunidad en el siempre cambiante mundo de las criptomonedas.
¿Cómo funciona ImmuneFi?
ImmuneFi ejecuta un sistema transparente de recompensa por fallos respaldado por un mecanismo de consenso de prueba de concepto. Una prueba de concepto es un código básico y funcional escrito por un sombrero blanco que resalta fallas en un contrato inteligente o sistema de blockchain. Se crea para mostrar cómo se pueden explotar esas fallas sin causar problemas en un entorno en vivo. Como tal, sirven como la forma estándar de proporcionar evidencia del impacto potencial de un error en un proyecto. También son requeridos por casi todos los programas de recompensa por fallos en ImmuneFi.
Las operaciones de ImmuneFi atienden tanto a los hackers whitehat como a los propietarios de proyectos. Los whitehats son hackers éticos que identifican y corrigen vulnerabilidades en sistemas y software antes de que actores malintencionados puedan explotarlas. Esos actores malintencionados son conocidos como blackhats, y mientras se dedican a actividades ilegales para su propio beneficio, los whitehats operan dentro de los límites legales y a menudo colaboran con organizaciones para mejorar su seguridad.
Por un lado, los hackers whitehat (profesionales de la ciberseguridad que identifican y solucionan vulnerabilidades del sistema) exploran una selección de recompensas por fallos con un valor de más de $162 millones de proyectos confiables en el espacio Web3. Una vez que encuentran un programa que se ajusta a sus habilidades, los participantes pueden revisar los requisitos de la recompensa y examinar el código específico elegible para su revisión. Sin embargo, solo se recompensarán los fallos descubiertos dentro del código especificado en el alcance de la recompensa.
Después de encontrar un fallo, el hacker sombrero blanco debe crear una cuenta y enviar el fallo a través del Plataforma de errores ImmuneFiTan pronto como el equipo de ImmuneFi confirme la validez del fallo, trabajarán mano a mano con el cazador de recompensas y el cliente para abordar el problema, después de lo cual se realizarán los pagos.
En el lado de los propietarios del proyecto, tendrían que completar un formulario de integración en el programa de recompensas por fallos, después de lo cual recibirán un cuestionario. ImmuneFi luego utilizará las respuestas al cuestionario para redactar un programa de recompensas por fallos. Después, el proyecto envía el borrador de la recompensa por fallos al cliente para su revisión. Si todo está bien, la recompensa se entrega al especialista en lanzamientos, quien trabajará con el equipo de marketing del cliente para decidir el mejor momento de lanzamiento y otros detalles de marketing.
Como servicio al cliente, ImmuneFi escribe revisiones de corrección de errores para vulnerabilidades para recordar a la comunidad cripto más grande el compromiso del proyecto con la seguridad. También brindan asistencia de relaciones públicas y consejos sobre cómo comunicar efectivamente las vulnerabilidades de parches.
ImmuneFi también utiliza un sistema de clasificación de gravedadpara gestionar los informes de errores de forma eficiente. Este sistema categoriza las vulnerabilidades según su impacto potencial en los fondos de usuario, la funcionalidad de la red y la seguridad del protocolo en general. A cada proyecto dentro de la red ImmuneFi se le asigna un nivel de gravedad, que se encuentra en la sección “Recompensas por Nivel de Amenaza” en la página del programa de recompensas por fallos del proyecto.
La última versión de la Sistema de Clasificación de Gravedad de Vulnerabilidades de Immunefi (v2.3)utiliza una escala de cuatro niveles: Crítico, Alto, Medio y Bajo. Las vulnerabilidades críticas podrían llevar a consecuencias graves, como interrupciones totales de la red o robos significativos de fondos, mientras que las categorías inferiores se centran en problemas menos graves, como errores menores en contratos inteligentes.
El sistema también delinea áreas consideradas fuera del alcance, incluyendo vulnerabilidades en archivos de prueba, ataques relacionados con la gobernanza y riesgos económicos fuera de la jurisdicción de ImmuneFi. Este marco ayuda a los desarrolladores a mejorar la seguridad de su proyecto al proporcionar pautas estándar para clasificar y abordar vulnerabilidades. También especifica toda conducta prohibida dentro de los programas de recompensa por fallos para garantizar prácticas éticas y seguras de pruebas de seguridad.
Principales características de ImmuneFi
ImmuneFi alberga varias características interesantes, incluyendo:
Perfiles de ImmuneFi
Fuente:immunefi
Perfiles de ImmuneFiayuda a los whitehats a mostrar sus logros al mundo, incluyendo las vulnerabilidades que han reportado, sus ganancias, las medallas y premios que han obtenido, y su posición en el ranking de ImmuneFi.
Si bien aún es la primera versión, los perfiles estarán disponibles para todos los sombreros blancos con al menos un informe pago en ImmuneFi. Sin embargo, en las próximas actualizaciones, toda la comunidad de investigación podrá acceder a los perfiles. La nueva versión también incluirá nuevas características, como un Feed de Contribución, que muestra informes a lo largo del tiempo para que los usuarios puedan rastrear su impacto.
ImmuneFi tiene seis insignias que se adjuntarán al perfil del participante. Estas incluyen:
- Uno de nosotros: Esta insignia se otorga al completar tu perfil de Immunefi, incluyendo todos tus enlaces en redes sociales.
- Compré el BMW: cuando has ganado más de $100,000 en ImmuneFi.
- Hay hierba afuera, ya sabes: cuando has ganado más de $1,000,000.
- Amigos En Lugares Altos: Después de haber vinculado tu perfil de Immunefi a tu biografía de Twitter (puede tardar hasta 24 horas en aparecer, pero generalmente se registra en 10 minutos).
- High Five: Después de recibir cinco recompensas en Immunefi.
- Rocketman: Cuando identificas una recompensa válida de un Boost.
Se agregarán más insignias, tarjetas de impulso y logros en las actualizaciones posteriores.
Auditorías de competencias
Fuente: immunefi
Un Competición de Auditoríaes una revisión de código sensible al tiempo con una piscina de recompensas designada para whitehats. Durante estos eventos, los hackers éticos informan vulnerabilidades de seguridad y las recompensas se asignan en función del impacto y la gravedad de sus descubrimientos, según lo determinado por el sistema de calificación de Immunefi.
Immunefi se asocia con cada proyecto de blockchain para personalizar la competencia, incluyendo la decisión sobre el tamaño del pozo de recompensa y la duración del evento, y proporcionando asistencia de marketing experta para atraer a investigadores expertos.
Una vez que concluye la competencia, los participantes son recompensados por sus contribuciones, y los proyectos reciben un informe detallado que destaca los hallazgos clave y las percepciones obtenidas durante el evento.
Los desarrolladores pueden lanzar competiciones de auditoría en días y recibir actualizaciones en tiempo real mientras la competición está en curso. También son más económicos que la mayoría de los concursos de auditoría, ofreciendo tarifas un 20% más baratas y conectando a los desarrolladores con una comunidad más amplia y experta de investigadores de seguridad.
Otra característica destacada es el líder, que permite a los participantes realizar un seguimiento de su rendimiento y compararse. Además, los desarrolladores aún pueden recibir recompensas incluso si otro investigador descubre un error primero. El premio se comparte entre todos los que pueden identificar el mismo problema, lo que alivia la presión de apresurarse y promueve el trabajo en equipo.
Premios Whitehat
Fuente: medio
La plataforma ImmunefiPremios Whitehatestán diseñados para celebrar los sobresalientes esfuerzos de whitehats que desempeñaron un papel vital en mejorar la seguridad de Web3. Estos premios reconocen a individuos por informar responsablemente sobre vulnerabilidades de seguridad y ofrecen diferentes formas de reconocimiento, como NFT digitales y mercancía de lujo.
Los premios siguen una estructura escalonada, incentivando a los hackers a alcanzar objetivos específicos, como presentar informes que califiquen para el pago o alcanzar ciertos umbrales de recompensa. Actualmente, los niveles se dividen en el Nivel Iniciado, para los sombreros blancos que han ganado más de $50,000 en ImmuneFi, y el Nivel Élite, para aquellos que han ganado más de $100,000. Sin embargo, se espera que pronto se anuncien más niveles, como el Nivel Maestro (más de $1 millón en ganancias) y el Nivel Gran Maestro (más de $10 millones en ganancias).
Colección del Salón de la Fama de los sombreros blancos
Fuente: immunefi
El Salón de la Fama de Whitehat es una colección de NFT para los white hats más aclamados del mundo. Los poseedores de esta tarjeta del Salón de la Fama son considerados los hackers más talentosos e importantes del mundo. Reciben NFT personalizados para inmortalizar sus contribuciones a la seguridad de Web3.
Cada NFT es único y creado específicamente para cada informe de fallo significativo y exitoso. Los poseedores pueden conservarlo sin cargo o venderlo a coleccionistas interesados en celebrar momentos históricos en la seguridad de Web3.
Solo por invitación
Fuente: immunefi
El ImmuneFiPrograma solo por invitación está diseñado para seleccionar solo a los investigadores más calificados para proyectos de recompensa por fallos específicos. Este proceso de selección tiene en cuenta los requisitos técnicos y el ecosistema de cada proyecto, asegurando que la experiencia de los investigadores se alinee bien con las necesidades del proyecto para una auditoría o participación en recompensas por fallos efectiva.
La característica principal de este programa es su compromiso de mantener la privacidad y confidencialidad. Los equipos del proyecto pueden adaptar sus protocolos para incluir acuerdos específicos sobre confidencialidad, control sobre la visibilidad de los activos y preferencias relacionadas con la publicación de hallazgos. Esto asegura que cualquier información sensible se maneje de forma segura, permitiendo que los proyectos trabajen con expertos en seguridad de primer nivel mientras mantienen sus estándares de privacidad.
Al concentrarse en vulnerabilidades críticas y problemas significativos de seguridad, el Programa solo por invitación minimiza eficazmente el marco de tiempo en el que pueden surgir posibles amenazas. Esto conduce a una detección y resolución más rápida de problemas de seguridad, mejorando en última instancia la seguridad general del proyecto de blockchain.
Bóvedas ImmuneFi
Origen: immunefi
Los Vaults de ImmuneFi están diseñados para aumentar la transparencia y la confianza entre whitehats y los propietarios de proyectos, ayudándoles a gestionar de forma segura los activos y pagos de recompensas por fallos. Los proyectos pueden depositar y retirar fondos de sus vaults, y el saldo asignado para las recompensas es visible para los whitehats. Este nivel de transparencia ayuda a construir confianza, ya que los whitehats se sentirán incentivados a enviar informes de fallos de primer nivel, ya que confían en que el proyecto tiene suficiente dinero para pagar por los fallos.
Los proyectos pueden configurar sus bóvedas en menos de 10 minutos. Después de verificar un informe de fallo válido, los pagos se emiten directamente desde la bóveda del proyecto, lo que hace que las transacciones sean fluidas y seguras. Este sistema también incluye características como la verificación de billetera para prevenir errores o pagos incorrectos.
Las bóvedas están actualmente disponibles en Ethereum y Optimism, y se espera que se extiendan a otras cadenas EVM como Polygon, Gnosis Chain y Arbitrum. Los proyectos pueden depositar stablecoins, ETH y cualquier otro activo en la lista de tokens de Uniswap. También pueden pagar recompensas con uno o más activos en una sola transacción.
InmunFi Refugio Seguro
Fuente: immunefi
ImmuneFi Safe Harbor es un marco legal creado por Security Alliance (SEAL) para permitir a los whitehats proteger los fondos de un proyecto cuando está siendo atacado por blackhats o actores maliciosos. Este marco les permite recuperar los fondos que están en riesgo durante tales ataques y redirigir de forma segura esos fondos a una Bóveda designada gestionada por Immunefi. A cambio, estos investigadores pueden ganar hasta el 60% de la recompensa crítica máxima disponible para el proyecto.
Immunefi también integró Safe Harbor en los programas existentes de recompensa por fallos. Safe Harbor también utiliza el panel de informes de fallos existente, por lo que los proyectos pueden usar el mismo sistema de alerta de emergencia y personal de seguridad con el que se sienten cómodos. Como tal, Safe Harbor actúa como una extensión de los programas de recompensa por fallos de ImmuneFi.
Errores comunes encontrados por hackers de Immune Fi
Reentrancia
Las vulnerabilidades de reentrancia ocurren cuando un contrato inteligente puede ser llamado múltiples veces antes de que se complete la primera ejecución. Esto permite a los atacantes insertar código malicioso que llama repetidamente al mismo contrato, drenando fondos o alterando su estado. Un ejemplo famoso es el hackeo del DAO en 2016, que apuntó a la red temprana de Ethereum. Para evitar problemas de reentrancia, los desarrolladores pueden usar guardias de reentrancia para prevenir múltiples llamadas durante una sola operación.
Manipulación de Oracle/Precio
Los oráculos de precios alimentan datos críticos del mercado, como los precios de los tokens, a contratos inteligentes. Por lo tanto, la manipulación del oráculo implica que los atacantes exploten estos feeds de datos para suministrar información falsa, lo que lleva a cálculos de precios inexactos. Por ejemplo, manipular el oráculo permite a un atacante inflar los precios de los tokens y obtener ganancias durante las transacciones. Para evitar esto, los desarrolladores utilizan oráculos descentralizados que agregan datos de múltiples fuentes.
Control de acceso débil
La mayoría de los sistemas adoptan medidas estrictas de control de acceso, como permisos basados en roles y autenticación sólida, para protegerse contra el acceso no autorizado. Estos controles aseguran que los usuarios y los procesos solo tengan los permisos necesarios para sus roles específicos. Documentar las capacidades y limitaciones de cada rol ayuda a identificar posibles vulnerabilidades, permitiendo pruebas unitarias y resolución de conflictos más efectivas. Este proceso ayuda a garantizar que el sistema funcione como se espera, reduciendo el riesgo de vulnerabilidades críticas causadas por negligencia o configuraciones incorrectas.
Además, es esencial limitar la autoridad de cada rol. Conceder permisos excesivos o depender demasiado del control centralizado puede causar un daño significativo si se compromete una cuenta o una clave privada. Desglosar los roles en segmentos más pequeños reducirá el impacto de dichas violaciones, mejorando la estabilidad del sistema.
Frontrunning
El frontrunning ocurre cuando un atacante aprovecha la naturaleza pública de las transacciones de blockchain. Los atacantes observan las transacciones pendientes en el mempool (un área temporal para almacenar transacciones no ejecutadas en la cadena de bloques), luego colocan sus transacciones con tarifas de gas más altas para ejecutarse antes que la transacción de la víctima. Esto es particularmente común en los intercambios descentralizados, donde el momento puede afectar los resultados comerciales.
Proxy no inicializado
Los contratos de proxy no inicializados ocurren cuando las variables de almacenamiento dentro de un contrato de proxy no se configuran correctamente antes de su uso. Esta falta de configuración adecuada puede llevar a riesgos de seguridad, ya que estas variables no inicializadas podrían contener datos importantes o influir en funciones clave del contrato. Los hackers maliciosos podrían explotar estas vulnerabilidades, manipulando las variables no inicializadas para obtener acceso no autorizado.
Noticias sobre ImmuneFi
En la edición de octubre de 2024 de su informe de pérdidas en criptomonedas, ImmuneFi compartió algunas estadísticas interesantes sobre las pérdidas que la comunidad criptográfica ha enfrentado este año. Según el informe, la comunidad criptográfica ha perdido hasta $1,400,073,177 en hacks y rug pulls hasta octubre de 2024 en 179 incidentes. Esto representa una disminución del uno por ciento desde octubre de 2023, cuando las pérdidas alcanzaron los $1,414,641,935.
En octubre de 2024, la comunidad de criptomonedas experimentó pérdidas de hasta USD 55,138,600 debido a hackeos en siete incidentes, sin que se reportara ningún fraude.Esto supuso un aumento del 114% con respecto a octubre de 2023, pero un descenso del 56,6% con respecto a septiembre de 2024.Las pérdidas más significativas fueron las de Radiant Capital (50 millones de dólares) y Tapioca DAO (4,4 millones de dólares). DeFi fue el único sector afectado, siendo BNB Chain el más afectado, representando el 50% de las pérdidas totales.ImmuneFi ha pagado más de 100 millones de dólares en recompensas y ha ahorrado más de 25 mil millones de dólares en fondos de usuarios.
¿Es ImmuneFi una buena inversión?
ImmuneFi se ha ganado una reputación como el programa líder de recompensa por fallos en la industria de las criptomonedas. Ofrece programas de recompensa por fallos de alcance general y soluciones personalizadas como el programa Solo por Invitación. ImmuneFi es el punto de encuentro para hackers éticos y propietarios de proyectos, ayudando a los proyectos a mantenerse seguros. Como tal, con su experiencia en seguridad y enfoque flexible, ImmuneFi ayuda a los proyectos a construir ecosistemas más seguros.
Статті на тему
¿Qué es SegWit?
¿Qué es Tronscan y cómo se puede utilizar?
Todo lo que necesitas saber sobre Blockchain
Una introducción a ImmuneFi: la plataforma de recompensa por fallos líder del mundo
¿Qué es ImmuneFi?
¿Cómo funciona ImmuneFi?
Principales características de ImmuneFi
Bóvedas ImmuneFi
Refugio seguro de ImmuneFi
Errores comunes encontrados por los hackers de Immune Fi
Noticias sobre ImmuneFi
¿Es ImmuneFi una buena inversión?
La industria de la cadena de bloques no es ajena a los ataques, principalmente porque almacena y protege miles de millones de activos digitales. Solo en octubre se perdieron más de $55 millones debido a ataques a proyectos como Radiant Capital y Morpho Labs. Estos ataques se dirigen a los errores en el código original del proyecto, buscando lagunas y puertas traseras para infiltrarse.
Reconociendo la necesidad de una solución descentralizada para mitigar esto, Mitchell Amador fundó ImmuneFi para proteger los proyectos de blockchain de los errores que podrían causar problemas, sin importar lo pequeños que sean. Por lo tanto, necesitamos entender qué hace ImmuneFi y cómo beneficia a la comunidad de blockchain.
¿Qué es ImmuneFi?
Fuente: immunefi
Immunefi es una plataforma de seguridad que protege proyectos Web3 mediante la identificación y solución de fallos en sistemas blockchain, contratos inteligentes y aplicaciones descentralizadas (dApps). Los fallos son simplemente errores o vulnerabilidades en el código de un sistema. Básicamente, ImmuneFi incentiva a los hackers éticos a encontrar y reportar fallos y los recompensa según la gravedad de la vulnerabilidad.
Además de sus servicios de recompensa por fallos, Immunefi ofrece diversas herramientas para mejorar la seguridad en la blockchain. Estas herramientas incluyen alojamiento de red, gestión del proceso de triaje para informes de fallos y supervisión de programas de seguridad completos para diferentes proyectos. Sus servicios de contratos inteligentes son especialmente útiles para realizar revisiones de código y detectar vulnerabilidades, lo que ayuda a protegerse contra actores malintencionados. Immunefi también cuenta con un ecosistema de más de 35 000 investigadores de seguridad, y más de 1 000 de ellos han descubierto fallos críticos en la red principal.
Historia de ImmuneFi
ImmuneFi fue fundada porMitchell Amador, quien lanzó la plataforma el 9 de diciembre de 2020. La idea de ImmuneFi surgió a Amador durante un viaje de senderismo en los Alpes suizos a principios de 2020, cuando descubrió que otro proyecto de criptomonedas había sido víctima de un incidente de piratería. Este incidente resaltó la necesidad urgente de mejorar la seguridad en los espacios de DeFi y Web3, ya que no existían soluciones que abordaran estas vulnerabilidades.
Reconociendo que el talento para abordar este problema existía dentro de la comunidad, Amador se dio cuenta de que era necesario una plataforma unificadora para incentivar a los hackers a ayudar a proteger los proyectos. Esto llevó a la creación de Immunefi, una plataforma de recompensa por fallos dedicada a mejorar la seguridad de las aplicaciones Web3.
Desde su creación, ImmuneFi ha establecido una sólida reputación, asociándose con proyectos destacados como Synthetix, TheGraph, Polígono, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Red Bancor, y ChainlinkHoy en día, ImmuneFi es la plataforma líder de recompensa por fallos en Web3, que presta servicio a más de 330 proyectos.
El impacto de ImmuneFi ha sido significativo, con la plataforma informando supuestamente ahorrar más de $25 mil millonesprotegiendo los fondos de los usuarios de posibles hackeos y distribuyendo más de $100 millones en recompensas por fallos. Actualmente, la plataforma desempeña un papel crucial en la protección de más de $190 mil millones en activos de usuarios, reforzando la importancia de la seguridad impulsada por la comunidad en el siempre cambiante mundo de las criptomonedas.
¿Cómo funciona ImmuneFi?
ImmuneFi ejecuta un sistema transparente de recompensa por fallos respaldado por un mecanismo de consenso de prueba de concepto. Una prueba de concepto es un código básico y funcional escrito por un sombrero blanco que resalta fallas en un contrato inteligente o sistema de blockchain. Se crea para mostrar cómo se pueden explotar esas fallas sin causar problemas en un entorno en vivo. Como tal, sirven como la forma estándar de proporcionar evidencia del impacto potencial de un error en un proyecto. También son requeridos por casi todos los programas de recompensa por fallos en ImmuneFi.
Las operaciones de ImmuneFi atienden tanto a los hackers whitehat como a los propietarios de proyectos. Los whitehats son hackers éticos que identifican y corrigen vulnerabilidades en sistemas y software antes de que actores malintencionados puedan explotarlas. Esos actores malintencionados son conocidos como blackhats, y mientras se dedican a actividades ilegales para su propio beneficio, los whitehats operan dentro de los límites legales y a menudo colaboran con organizaciones para mejorar su seguridad.
Por un lado, los hackers whitehat (profesionales de la ciberseguridad que identifican y solucionan vulnerabilidades del sistema) exploran una selección de recompensas por fallos con un valor de más de $162 millones de proyectos confiables en el espacio Web3. Una vez que encuentran un programa que se ajusta a sus habilidades, los participantes pueden revisar los requisitos de la recompensa y examinar el código específico elegible para su revisión. Sin embargo, solo se recompensarán los fallos descubiertos dentro del código especificado en el alcance de la recompensa.
Después de encontrar un fallo, el hacker sombrero blanco debe crear una cuenta y enviar el fallo a través del Plataforma de errores ImmuneFiTan pronto como el equipo de ImmuneFi confirme la validez del fallo, trabajarán mano a mano con el cazador de recompensas y el cliente para abordar el problema, después de lo cual se realizarán los pagos.
En el lado de los propietarios del proyecto, tendrían que completar un formulario de integración en el programa de recompensas por fallos, después de lo cual recibirán un cuestionario. ImmuneFi luego utilizará las respuestas al cuestionario para redactar un programa de recompensas por fallos. Después, el proyecto envía el borrador de la recompensa por fallos al cliente para su revisión. Si todo está bien, la recompensa se entrega al especialista en lanzamientos, quien trabajará con el equipo de marketing del cliente para decidir el mejor momento de lanzamiento y otros detalles de marketing.
Como servicio al cliente, ImmuneFi escribe revisiones de corrección de errores para vulnerabilidades para recordar a la comunidad cripto más grande el compromiso del proyecto con la seguridad. También brindan asistencia de relaciones públicas y consejos sobre cómo comunicar efectivamente las vulnerabilidades de parches.
ImmuneFi también utiliza un sistema de clasificación de gravedadpara gestionar los informes de errores de forma eficiente. Este sistema categoriza las vulnerabilidades según su impacto potencial en los fondos de usuario, la funcionalidad de la red y la seguridad del protocolo en general. A cada proyecto dentro de la red ImmuneFi se le asigna un nivel de gravedad, que se encuentra en la sección “Recompensas por Nivel de Amenaza” en la página del programa de recompensas por fallos del proyecto.
La última versión de la Sistema de Clasificación de Gravedad de Vulnerabilidades de Immunefi (v2.3)utiliza una escala de cuatro niveles: Crítico, Alto, Medio y Bajo. Las vulnerabilidades críticas podrían llevar a consecuencias graves, como interrupciones totales de la red o robos significativos de fondos, mientras que las categorías inferiores se centran en problemas menos graves, como errores menores en contratos inteligentes.
El sistema también delinea áreas consideradas fuera del alcance, incluyendo vulnerabilidades en archivos de prueba, ataques relacionados con la gobernanza y riesgos económicos fuera de la jurisdicción de ImmuneFi. Este marco ayuda a los desarrolladores a mejorar la seguridad de su proyecto al proporcionar pautas estándar para clasificar y abordar vulnerabilidades. También especifica toda conducta prohibida dentro de los programas de recompensa por fallos para garantizar prácticas éticas y seguras de pruebas de seguridad.
Principales características de ImmuneFi
ImmuneFi alberga varias características interesantes, incluyendo:
Perfiles de ImmuneFi
Fuente:immunefi
Perfiles de ImmuneFiayuda a los whitehats a mostrar sus logros al mundo, incluyendo las vulnerabilidades que han reportado, sus ganancias, las medallas y premios que han obtenido, y su posición en el ranking de ImmuneFi.
Si bien aún es la primera versión, los perfiles estarán disponibles para todos los sombreros blancos con al menos un informe pago en ImmuneFi. Sin embargo, en las próximas actualizaciones, toda la comunidad de investigación podrá acceder a los perfiles. La nueva versión también incluirá nuevas características, como un Feed de Contribución, que muestra informes a lo largo del tiempo para que los usuarios puedan rastrear su impacto.
ImmuneFi tiene seis insignias que se adjuntarán al perfil del participante. Estas incluyen:
- Uno de nosotros: Esta insignia se otorga al completar tu perfil de Immunefi, incluyendo todos tus enlaces en redes sociales.
- Compré el BMW: cuando has ganado más de $100,000 en ImmuneFi.
- Hay hierba afuera, ya sabes: cuando has ganado más de $1,000,000.
- Amigos En Lugares Altos: Después de haber vinculado tu perfil de Immunefi a tu biografía de Twitter (puede tardar hasta 24 horas en aparecer, pero generalmente se registra en 10 minutos).
- High Five: Después de recibir cinco recompensas en Immunefi.
- Rocketman: Cuando identificas una recompensa válida de un Boost.
Se agregarán más insignias, tarjetas de impulso y logros en las actualizaciones posteriores.
Auditorías de competencias
Fuente: immunefi
Un Competición de Auditoríaes una revisión de código sensible al tiempo con una piscina de recompensas designada para whitehats. Durante estos eventos, los hackers éticos informan vulnerabilidades de seguridad y las recompensas se asignan en función del impacto y la gravedad de sus descubrimientos, según lo determinado por el sistema de calificación de Immunefi.
Immunefi se asocia con cada proyecto de blockchain para personalizar la competencia, incluyendo la decisión sobre el tamaño del pozo de recompensa y la duración del evento, y proporcionando asistencia de marketing experta para atraer a investigadores expertos.
Una vez que concluye la competencia, los participantes son recompensados por sus contribuciones, y los proyectos reciben un informe detallado que destaca los hallazgos clave y las percepciones obtenidas durante el evento.
Los desarrolladores pueden lanzar competiciones de auditoría en días y recibir actualizaciones en tiempo real mientras la competición está en curso. También son más económicos que la mayoría de los concursos de auditoría, ofreciendo tarifas un 20% más baratas y conectando a los desarrolladores con una comunidad más amplia y experta de investigadores de seguridad.
Otra característica destacada es el líder, que permite a los participantes realizar un seguimiento de su rendimiento y compararse. Además, los desarrolladores aún pueden recibir recompensas incluso si otro investigador descubre un error primero. El premio se comparte entre todos los que pueden identificar el mismo problema, lo que alivia la presión de apresurarse y promueve el trabajo en equipo.
Premios Whitehat
Fuente: medio
La plataforma ImmunefiPremios Whitehatestán diseñados para celebrar los sobresalientes esfuerzos de whitehats que desempeñaron un papel vital en mejorar la seguridad de Web3. Estos premios reconocen a individuos por informar responsablemente sobre vulnerabilidades de seguridad y ofrecen diferentes formas de reconocimiento, como NFT digitales y mercancía de lujo.
Los premios siguen una estructura escalonada, incentivando a los hackers a alcanzar objetivos específicos, como presentar informes que califiquen para el pago o alcanzar ciertos umbrales de recompensa. Actualmente, los niveles se dividen en el Nivel Iniciado, para los sombreros blancos que han ganado más de $50,000 en ImmuneFi, y el Nivel Élite, para aquellos que han ganado más de $100,000. Sin embargo, se espera que pronto se anuncien más niveles, como el Nivel Maestro (más de $1 millón en ganancias) y el Nivel Gran Maestro (más de $10 millones en ganancias).
Colección del Salón de la Fama de los sombreros blancos
Fuente: immunefi
El Salón de la Fama de Whitehat es una colección de NFT para los white hats más aclamados del mundo. Los poseedores de esta tarjeta del Salón de la Fama son considerados los hackers más talentosos e importantes del mundo. Reciben NFT personalizados para inmortalizar sus contribuciones a la seguridad de Web3.
Cada NFT es único y creado específicamente para cada informe de fallo significativo y exitoso. Los poseedores pueden conservarlo sin cargo o venderlo a coleccionistas interesados en celebrar momentos históricos en la seguridad de Web3.
Solo por invitación
Fuente: immunefi
El ImmuneFiPrograma solo por invitación está diseñado para seleccionar solo a los investigadores más calificados para proyectos de recompensa por fallos específicos. Este proceso de selección tiene en cuenta los requisitos técnicos y el ecosistema de cada proyecto, asegurando que la experiencia de los investigadores se alinee bien con las necesidades del proyecto para una auditoría o participación en recompensas por fallos efectiva.
La característica principal de este programa es su compromiso de mantener la privacidad y confidencialidad. Los equipos del proyecto pueden adaptar sus protocolos para incluir acuerdos específicos sobre confidencialidad, control sobre la visibilidad de los activos y preferencias relacionadas con la publicación de hallazgos. Esto asegura que cualquier información sensible se maneje de forma segura, permitiendo que los proyectos trabajen con expertos en seguridad de primer nivel mientras mantienen sus estándares de privacidad.
Al concentrarse en vulnerabilidades críticas y problemas significativos de seguridad, el Programa solo por invitación minimiza eficazmente el marco de tiempo en el que pueden surgir posibles amenazas. Esto conduce a una detección y resolución más rápida de problemas de seguridad, mejorando en última instancia la seguridad general del proyecto de blockchain.
Bóvedas ImmuneFi
Origen: immunefi
Los Vaults de ImmuneFi están diseñados para aumentar la transparencia y la confianza entre whitehats y los propietarios de proyectos, ayudándoles a gestionar de forma segura los activos y pagos de recompensas por fallos. Los proyectos pueden depositar y retirar fondos de sus vaults, y el saldo asignado para las recompensas es visible para los whitehats. Este nivel de transparencia ayuda a construir confianza, ya que los whitehats se sentirán incentivados a enviar informes de fallos de primer nivel, ya que confían en que el proyecto tiene suficiente dinero para pagar por los fallos.
Los proyectos pueden configurar sus bóvedas en menos de 10 minutos. Después de verificar un informe de fallo válido, los pagos se emiten directamente desde la bóveda del proyecto, lo que hace que las transacciones sean fluidas y seguras. Este sistema también incluye características como la verificación de billetera para prevenir errores o pagos incorrectos.
Las bóvedas están actualmente disponibles en Ethereum y Optimism, y se espera que se extiendan a otras cadenas EVM como Polygon, Gnosis Chain y Arbitrum. Los proyectos pueden depositar stablecoins, ETH y cualquier otro activo en la lista de tokens de Uniswap. También pueden pagar recompensas con uno o más activos en una sola transacción.
InmunFi Refugio Seguro
Fuente: immunefi
ImmuneFi Safe Harbor es un marco legal creado por Security Alliance (SEAL) para permitir a los whitehats proteger los fondos de un proyecto cuando está siendo atacado por blackhats o actores maliciosos. Este marco les permite recuperar los fondos que están en riesgo durante tales ataques y redirigir de forma segura esos fondos a una Bóveda designada gestionada por Immunefi. A cambio, estos investigadores pueden ganar hasta el 60% de la recompensa crítica máxima disponible para el proyecto.
Immunefi también integró Safe Harbor en los programas existentes de recompensa por fallos. Safe Harbor también utiliza el panel de informes de fallos existente, por lo que los proyectos pueden usar el mismo sistema de alerta de emergencia y personal de seguridad con el que se sienten cómodos. Como tal, Safe Harbor actúa como una extensión de los programas de recompensa por fallos de ImmuneFi.
Errores comunes encontrados por hackers de Immune Fi
Reentrancia
Las vulnerabilidades de reentrancia ocurren cuando un contrato inteligente puede ser llamado múltiples veces antes de que se complete la primera ejecución. Esto permite a los atacantes insertar código malicioso que llama repetidamente al mismo contrato, drenando fondos o alterando su estado. Un ejemplo famoso es el hackeo del DAO en 2016, que apuntó a la red temprana de Ethereum. Para evitar problemas de reentrancia, los desarrolladores pueden usar guardias de reentrancia para prevenir múltiples llamadas durante una sola operación.
Manipulación de Oracle/Precio
Los oráculos de precios alimentan datos críticos del mercado, como los precios de los tokens, a contratos inteligentes. Por lo tanto, la manipulación del oráculo implica que los atacantes exploten estos feeds de datos para suministrar información falsa, lo que lleva a cálculos de precios inexactos. Por ejemplo, manipular el oráculo permite a un atacante inflar los precios de los tokens y obtener ganancias durante las transacciones. Para evitar esto, los desarrolladores utilizan oráculos descentralizados que agregan datos de múltiples fuentes.
Control de acceso débil
La mayoría de los sistemas adoptan medidas estrictas de control de acceso, como permisos basados en roles y autenticación sólida, para protegerse contra el acceso no autorizado. Estos controles aseguran que los usuarios y los procesos solo tengan los permisos necesarios para sus roles específicos. Documentar las capacidades y limitaciones de cada rol ayuda a identificar posibles vulnerabilidades, permitiendo pruebas unitarias y resolución de conflictos más efectivas. Este proceso ayuda a garantizar que el sistema funcione como se espera, reduciendo el riesgo de vulnerabilidades críticas causadas por negligencia o configuraciones incorrectas.
Además, es esencial limitar la autoridad de cada rol. Conceder permisos excesivos o depender demasiado del control centralizado puede causar un daño significativo si se compromete una cuenta o una clave privada. Desglosar los roles en segmentos más pequeños reducirá el impacto de dichas violaciones, mejorando la estabilidad del sistema.
Frontrunning
El frontrunning ocurre cuando un atacante aprovecha la naturaleza pública de las transacciones de blockchain. Los atacantes observan las transacciones pendientes en el mempool (un área temporal para almacenar transacciones no ejecutadas en la cadena de bloques), luego colocan sus transacciones con tarifas de gas más altas para ejecutarse antes que la transacción de la víctima. Esto es particularmente común en los intercambios descentralizados, donde el momento puede afectar los resultados comerciales.
Proxy no inicializado
Los contratos de proxy no inicializados ocurren cuando las variables de almacenamiento dentro de un contrato de proxy no se configuran correctamente antes de su uso. Esta falta de configuración adecuada puede llevar a riesgos de seguridad, ya que estas variables no inicializadas podrían contener datos importantes o influir en funciones clave del contrato. Los hackers maliciosos podrían explotar estas vulnerabilidades, manipulando las variables no inicializadas para obtener acceso no autorizado.
Noticias sobre ImmuneFi
En la edición de octubre de 2024 de su informe de pérdidas en criptomonedas, ImmuneFi compartió algunas estadísticas interesantes sobre las pérdidas que la comunidad criptográfica ha enfrentado este año. Según el informe, la comunidad criptográfica ha perdido hasta $1,400,073,177 en hacks y rug pulls hasta octubre de 2024 en 179 incidentes. Esto representa una disminución del uno por ciento desde octubre de 2023, cuando las pérdidas alcanzaron los $1,414,641,935.
En octubre de 2024, la comunidad de criptomonedas experimentó pérdidas de hasta USD 55,138,600 debido a hackeos en siete incidentes, sin que se reportara ningún fraude.Esto supuso un aumento del 114% con respecto a octubre de 2023, pero un descenso del 56,6% con respecto a septiembre de 2024.Las pérdidas más significativas fueron las de Radiant Capital (50 millones de dólares) y Tapioca DAO (4,4 millones de dólares). DeFi fue el único sector afectado, siendo BNB Chain el más afectado, representando el 50% de las pérdidas totales.ImmuneFi ha pagado más de 100 millones de dólares en recompensas y ha ahorrado más de 25 mil millones de dólares en fondos de usuarios.
¿Es ImmuneFi una buena inversión?
ImmuneFi se ha ganado una reputación como el programa líder de recompensa por fallos en la industria de las criptomonedas. Ofrece programas de recompensa por fallos de alcance general y soluciones personalizadas como el programa Solo por Invitación. ImmuneFi es el punto de encuentro para hackers éticos y propietarios de proyectos, ayudando a los proyectos a mantenerse seguros. Como tal, con su experiencia en seguridad y enfoque flexible, ImmuneFi ayuda a los proyectos a construir ecosistemas más seguros.
Статті на тему
¿Qué es SegWit?
¿Qué es Tronscan y cómo se puede utilizar?