De acordo com um novo relatório divulgado em 21 de dezembro, a empresa de segurança blockchain Immunefi disse que processou mais de US$ 65,918,994 em recompensas criptográficas pagas a hackers éticos em mais de 1,248 relatórios desde seu início em 9 de dezembro de 2020. Projetos da Web 3.0 listam programas de recompensas no ImmuneFi para encorajar os hackers whitehat a relatar vulnerabilidades e reivindicar recompensas monetárias, que a empresa então facilita.
Os pagamentos parecem estar concentrados na natureza, com programas de recompensas operados por Wormhole, Aurora, Polygon, Optimism e uma empresa não revelada respondendo por $ 30.2 milhões em recompensas no ano passado. O pagamento médio foi de $ 2,000 e o pagamento médio foi de $ 52,800. Um pequeno número de relatórios de bugs de vulnerabilidade crítica recebeu as maiores recompensas.
“Um pagamento de US$ 5,000 por uma vulnerabilidade crítica pode funcionar no mundo web2, por exemplo, mas não funciona no mundo web3. Se a perda direta de fundos para uma vulnerabilidade do web3 pode chegar a US$ 50 milhões, então faz sentido oferecer uma recompensa muito maior para incentivar o bom comportamento.”
Em termos de notificações de vulnerabilidades, as questões de Smart Contracts assumiram a liderança, com um total de 728 envios, representando 58.3% dos relatórios pagos. Enquanto isso, as categorias Sites e Aplicativos e Blockchain/Distributed Ledger Technology (DLT) totalizaram 488 envios (39.1) e 32 envios (2.6%), respectivamente. Curiosamente, apesar de ter um alto número de envios, os relatórios de sites e aplicativos representaram apenas 2.9% do total de pagamentos de whitehat, enquanto os bugs do Smart Contract representaram 89.6% dos pagamentos.
Os programas de recompensa detectaram relatórios de alta vulnerabilidade, como o caso do Pods Finance, para um erro de lógica que permitiu o roubo de rendimento ou abuso do sistema de recompensas no protocolo. Outro inclui a vulnerabilidade da Mushrooms Finance, que pode ser potencialmente explorada por meio de um ataque de valor extraível por minerador com flash bots.
O relatório também incluiu uma parte da análise de resgate, revelando que hackers maliciosos devolveram $ 32.7 milhões em fundos obtidos ilicitamente de protocolos de finanças descentralizadas (DeFi) em cinco situações específicas em 2022. Os hackers retiveram $ 6,44 milhões em pagamentos totais de resgate. Alguns especialistas dizem que o pagamento de resgate a hackers equivale a uma extorsão, mas quase todos concordam que é muito melhor instalar um programa de recompensas por bugs ex ante facto. Atualmente, a Immunefi oferece US$ 144 milhões em recompensas por meio de projetos da Web 3.0 listados na plataforma.
Fonte: https://cointelegraph.com/news/immunefi-says-it-has-facilitated-66m-in-bug-bounty-payouts-to-whitehats-since-inception