0 0
Read Time:8 Minute, 32 Second

The Graph Foundation đang cung cấp khoản tiền bug bounty (tiền thưởng cho việc tìm ra lỗi) kỷ lục là 2,5 triệu đô la để khuyến khích các nhà phát triển và hacker có đạo đức nhận ra các lỗ hổng và thiếu sót trong giao thức. Hiện tại, đây là chương trình bug bounty đang hoạt động lớn nhất trên thế giới. Đối với nỗ lực to lớn này, The Graph hợp tác với Immunefi, là đối tác có một kho kiến ​​thức sâu rộng về thử nghiệm và bảo mật các giao thức Web3.

Trong bài viết này, chúng tôi cung cấp thông tin chi tiết về bounty, làm nổi bật các loại rủi ro và lỗ hổng mà chương trình đang cố gắng giải quyết. Bên cạnh việc xây dựng các phương thức của chương trình, chúng tôi thảo luận về phần thưởng và phạm vi tổng thể của chương trình. Nhưng trước khi đi sâu vào tất cả những điều đó, chúng ta hãy giới thiệu sơ qua về The Graph và Immunefi, đặc biệt là cho những người mới bắt đầu.

Immunefi là gì?

Immunefi là một trong những nền tảng bug bounty phổ biến nhất trong Web3, nơi các hacker mũ trắng và các nhà phân tích bảo mật xem xét và sửa chữa các lỗ hổng của dự án. Khi làm như vậy, những hacker có đạo đức này nhận được phần thưởng xứng đáng khi phát hiện ra các mối đe dọa và giúp bảo mật các dự án tham gia. Immunefi là công ty tiên phong trong lĩnh vực bug bounties liên quan đến blockchain sáng tạo và có một đội ngũ chuyên gia bảo mật đáng ghen tị.

Trong những năm qua, Immunefi đã tiết kiệm hơn 1 tỷ USD tiền của người dùng khỏi bị đánh cắp hoặc sử dụng sai mục đích. Trong quá trình này, các hacker có đạo đức đã kiếm được hơn 3 triệu đô la tiền thưởng. Hiện tại, nền tảng này có bug bounties trị giá $26,251,214 bị lock trong các dự án khác nhau.

Là một nền tảng, Immunefi có phạm vi rộng lớn cho cả những hacker có đạo đức và chủ sở hữu dự án. Hacker có thể chọn các chương trình bounty  phù hợp với kỹ năng của họ, review code, gửi lỗi và được trả tiền. Đồng thời, các dự án có thể tăng cường bảo mật với sự trợ giúp của các chuyên gia tại Immunefi. Vì những yếu tố này, một số tên tuổi hàng đầu trong ngành tin tưởng nền tảng này. Ví dụ: BinanceChainlinkSushiSwapPancakeSwapCompound và Synthetix đã làm việc với Immunefi.

Tại sao lại có chương trình Bug Bounty?

Người ta có thể thắc mắc, tại sao chúng ta cần một chương trình bug bounty ngay từ đầu? Có phải việc kiểm toán độc lập của bên thứ ba là không đủ và khả thi hơn? Không hẳn vậy. Bug bounty làm cho các giao thức trở nên mạnh mẽ hơn so với việc xác minh code hàng loạt vì bounty khuyến khích toàn bộ cộng đồng những code reviewer, thay vì các cuộc kiểm toán thông thường có sự tham gia của một công ty kiểm toán.

Mặc dù sử dụng rộng rãi các cuộc kiểm toán, nhưng các vụ hack DeFi đã lên tới hơn 285 triệu đô la kể từ năm 2019. Về vấn đề này, Mitchell Amador, Người sáng lập và Giám đốc điều hành của ImmuneFi, cho biết, “Năm ngoái, hơn 200 triệu đô la đã bị hacker đánh cắp thông qua khai thác DeFi và hack điều đó thực sự đặt câu hỏi về tính hiệu quả của các phương pháp bảo mật truyền thống.

Anh ấy tiếp tục nói thêm, “Chúng tôi tại Immunefi cố gắng bảo vệ các dự án chống lại các vụ tấn công hợp đồng thông minh bằng cách giúp tạo, chạy và quảng bá các chương trình bug bounty thực tiễn tốt nhất. Chúng tôi rất vui mừng về sự hợp tác lịch sử này với The Graph. ”

Tổng quan về chương trình bug bounty 2,5 triệu đô la

Sau khi thảo luận về những điều cơ bản, bây giờ chúng ta hãy nói rõ hơn về các khía cạnh chính của chương trình bounty. The Graph Foundation tài trợ chương trình này để đảm bảo an ninh tốt hơn và độ tin cậy cho cộng đồng toàn cầu của mạng lưới.

Chương trình bắt đầu hoạt động ngay hôm nay, với phần thưởng tối đa là 2.500.000 đô la sẽ được thanh toán bằng token GRT. Chương trình chính là giảm thiểu rủi ro mất tiền của người dùng, lộ chi tiết riêng tư và lỗi tấn công Sybil. Nó cũng hướng tới việc ngăn chặn các kết quả truy vấn không chính xác của Indexer do sự bất thường của phần mềm Indexer và các lỗ hổng liên quan khác.

Phần thưởng chương trình bounty

Hacker mũ trắng được thưởng tùy theo mức độ nghiêm trọng của lỗi được phát hiện và mức độ thiệt hại tiềm ẩn. Điều này dựa trên thang điểm 5 giai đoạn được nêu trong Hệ thống phân loại mức độ nghiêm trọng về tình trạng tổn thương của Immunefi. Sau đây là quy mô và phần thưởng liên quan:

  • Critical (Nghiêm trọng) : Đóng băng việc nắm giữ hợp đồng hoặc các khoản tiền trống rỗng như các cuộc tấn công cho vay nhanh, lần truy cập gần đây (lên đến $2.500.000)
  • High (Cao) : Tạm ngừng chuyển tiền từ ví của token holder ($200.000)
  • Medium (Vừa) : Mức tiêu thụ gas lớn và từ chối dịch vụ ($20.000)
  • Low (Thấp) : Hợp đồng không trả lại lợi nhuận đã hứa ($5.000)

Phần thưởng cho các vi phạm bảo mật nghiêm trọng được giới hạn ở mức 10% tổng thiệt hại kinh tế có thể xảy ra do các lỗ hổng mã hóa.

Làm thế nào để đăng ký?

Quá trình đăng ký rất đơn giản. Để đủ điều kiện nhận bounty, những người săn bug bounty trước tiên cần đăng ký thông qua nền tảng KYC của The Graph Foundation. Sau đó, họ có thể gửi báo cáo lỗi của mình cùng với nhật ký và dữ liệu cần thiết cho Immunefi để nhận phần thưởng. Nội dung đệ trình phải bao gồm các tài liệu và mã hóa để tái tạo các lỗ hổng, cũng như các gợi ý để sửa lỗi.

Tìm hiểu thêm về cách tham gia bug bounty tại bug.immunefi.com .

Kịch bản nào nằm trong phạm vi của Chương trình Bounty?

  • Mất tiền do lỗi trong hợp đồng thông minh, cổng hoặc phần mềm Indexer
  • Phí truy vấn bị lỗi và lập chỉ mục các khoản thanh toán phần thưởng
  • Tấn công kinh tế khi tất cả các bên liên quan mất tiền
  • Mạo danh người tham gia mạng lưới và hậu quả là các hoạt động độc hại
  • Đánh cắp dữ liệu cá nhân do lỗi trong hợp đồng thông minh, phần mềm Indexer hoặc điều khiển code từ xa
  • Chức năng Indexer không hiệu quả
  • Mạng lưới tải bất thường mà không có đủ phí GRT
  • Dữ liệu truy vấn không chính xác
  • Tấn công Griefing
  • Tấn công Sybil
  • Đồng bộ hóa không xác định dữ liệu subgraph (chỉ dành cho Graph node)

Kịch bản nào không nằm trong phạm vi?

Không có bounty cho các trường hợp sau:

  • Các cuộc tấn công hoặc lỗi được khai thác bởi hacker
  • Đã xác định lỗi trong kiểm tra của bên thứ ba
  • Các cuộc tấn công frontrunning và sandwich
  • Thiếu thanh khoản
  • Tấn công quản trị (ví dụ: tấn công 51%)
  • Dữ liệu sai bởi oracles bên thứ ba
  • Các cuộc tấn công do social engineering hoặc keys / thông tin đăng nhập bị rò rỉ
  • Các phê bình dựa trên các phương pháp hay nhất về bảo mật thường được biết đến

Những gì các hacker có đạo đức không thể làm

  • Không khai thác lỗi hoặc lợi dụng chúng
  • Không vi phạm quyền riêng tư của bất kỳ bên liên quan nào của The Graph
  • Không tấn công hoặc lừa đảo The Graph Foundation hoặc bất kỳ người tham gia hệ sinh thái nào khác

Làm thế nào để báo cáo lỗi?

Chúng tôi yêu cầu hacker gửi báo cáo lỗi của họ một cách có trách nhiệm để ngăn chặn bất kỳ cuộc tấn công nào vào The Graph. Do đó, họ phải cho Nhóm Bảo mật The Graph đủ thời gian để khắc phục sự cố trước khi công khai các lỗ hổng bảo mật.

Người tham gia phải lưu ý rằng chỉ người đầu tiên báo lỗi mới được nhận phần thưởng liên quan. Họ phải gửi các lỗ hổng bảo mật cùng với tất cả các liên kết, tài liệu và code có liên quan. Chỉ một biểu mẫu sẽ được chấp nhận để gửi cho bất kỳ lỗ hổng nhất định nào. Tuy nhiên, những người săn tiền thưởng có thể tự do gửi nhiều biểu mẫu cho nhiều lỗ hổng.

Bất kỳ nỗ lực nào để tiết lộ công khai lỗ hổng trước khi giải quyết nó sẽ dẫn đến việc hủy bỏ bounty. The Graph Foundation và Immunefi có quyền loại bất kỳ ai không tuân thủ các quy tắc và quy định của chương trình bounty. Cuối cùng, trong mọi trường hợp, The Graph Foundation sẽ không thương lượng về các khoản thanh toán dưới bất kỳ sự đe dọa hoặc ép buộc nào.

Tìm hiểu thêm về cách tham gia tiền thưởng lỗi tại bug.immunefi.com.

Link gốc: https://thegraph.com/blog/graph-immunefi

THEGRAPHVN – Tham gia các cộng đồng The Graph Việt Nam tại:

Website tin tức

Telegram tin tức

Cộng đồng Telegram

Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Leave a Reply

Your email address will not be published. Required fields are marked *