Баг-баунті у Web3-секторі: 5 платформ, де вийде заробити
Так звані bug bounty-програми (полювання за дефектами — з англ.) є й у Web3-сфері. Платформи пропонують учасникам застосувати свої навички для пошуку вразливостей у проєктах, а натомість заробити. Сума винагороди залежить від ступеня ризику вразливості, ну і, звісно ж, бюджетів компанії. Виплати теж різноманітні — як у крипті, так і у фіаті.
Полювання на Web3-вразливості: які навички знадобляться?
Пошук вразливостей у рамках баунті-програм також називають етичним або білим хакерством. Полювання передбачає виявлення вразливих місць коду, алгоритму або структури вебсистеми. Це необхідно заради підвищення рівня безпеки та запобігання потенційним атакам, і проєкти готові платити етичним хакерам за відповідні дані. Простіше розгорнути баунті-програму, ніж дочекатися, поки хакери темної сторони скористаються інженерними недоліками у власних інтересах. Але полювання на баги — це не лише про заробіток. Крім грошової винагороди, блокчейн-розробники отримують чудову можливість випробувати себе і вдосконалити власні навички.
Мисливцем не вийде стати без досвіду — необхідно володіти елементарними техніками блокчейн-програмування, орієнтуватися в концепції смартконтрактів і бути уважним до деталей. За даними DeFi Llama, серед найбільш затребуваних мов програмування у Web3-секторі 2024 року — Solidity, Rust і Vyper. Якщо у вашому арсеналі є мінімальний комплект — можна починати. Долучитися до баунті-програм переважно можна безкоштовно. Аспекти застосунків, з якими ви працюватимете, теж залежать виключно від вашого багажу знань. Окремі вразливості виявити просто, але для пошуку інших доведеться докласти чимало зусиль. Графік винятково гнучкий: можете сидіти за кодом хоч увесь робочий день або ж підібрати години, які підходять вам за графіком.
Але перш ніж занурюватися у сферу етичного хакерства, знайте ─ не кожна виявлена вразливість приносить винагороду. Часом може трапитися, що час на пошук і створення звіту витрачено, а лаври мисливця вже встиг привласнити хтось інший. Щоб осісти в цій сфері, доведеться набути аналітичних здібностей, розвинути інтерес до злому систем, посидючість та ініціативність. Якщо це вам до снаги, і азарт присутній — до вашої уваги 5 провідних платформ, що винагородять білих хакерів за старанність.
Платформи для мисливців за вразливостями: Web3-список
Ці майданчики слугують сполучною ланкою між проєктами, розробниками та аудиторами і виконують інфраструктурну функцію. Крім того, компанії запускають також власні програми для етичних хакерів. Щоб підвищити свої шанси знайти відповідний проєкт, можна шукати як індивідуальні пропозиції, так і баг-баунті платформи. При виявленні вразливості потрібно дотримуватися правил, які надає програма або ж платформа, і повідомити про її природу належним чином. Ознайомтеся зі списком із п'яти платформ, що пропонують білим хакерам винагороду за їхню активність.
2. Immunefi
Домашня сторінка Immunefi. Джерело: immunefi.com
Компанія Immunefi була заснована 2020 року і базується в Сингапурі. На офіційному сайті платформи зазначено, що вона вже виплатила понад $95 млн як баунті, а в межах поточних баунті-програм мисливцям за вразливостями доступні понад $162 млн в якості винагород. Наразі на платформі розміщують свої пропозиції такі компанії, як LayerZero, Maker, Scroll, Optimism та інші. У листопаді 2023 року Immunefi запустила програму White Hat Awards, що передбачає систему нагород і заохочень для фахівців із безпеки, що ґрунтуються на їхньому прибутку від виявлення дефектів.
2. HackenProof
Баунті-програми на HackenProof. Джерело: hackenproof.com
Платформа є частиною екосистеми Hacken — компанії, яка надає різноманітні послуги в галузі кібербезпеки. Штаб-квартири Hacken розташовані в Києві (Україна) і Талліні (Естонія). HackenProof розпочала свою роботу у 2017 році. Наразі на платформі подано чинні баунті-програми для Aptos, River Protocol, MetaMask, Polygon, NEAR та інших. Загалом платформа зібрала понад 15 000 звітів про вразливості і виплатила етичним хакерам понад $9 млн.
3. Code4rena
Статистика Code4rena. Джерело: code4rena.com
За своєю структурою концепція баг-баунті програм на Code4rena відрізняється від інших. Щоб забезпечити оперативну діагностику систем безпеки, Code4rena розподіляє учасників за різними посадами. Аудитори, яких звуть Wardens, виявляють безпосередні вразливості в проєкті та заробляють на цьому винагороду. Спонсори формують обсяги фінансування для виплати компенсацій аудиторам, так звані скаути визначають межі ревізії, спостерігачі забезпечують подання звітності, а судді оцінюють надані матеріали. Організацією командної взаємодії займаються капітани. Проєкт Code4rena заснували 2021 року. Наразі на платформі зареєстровано понад 8300 аудиторів, а загальна кількість унікальних вразливостей, що їх виявили учасники, перевищує 24 626.
4. Remedy
Рішення для сфери кібербезпеки від Remedy. Джерело: r.xyz
Наразі Remedy проходить стадію бета-тестування і слугує платформою кібербезпеки, яку заснувала аудиторська блокчейн-компанія Hexens у 2023 році. По суті це свого роду дошка оголошень із замовленнями на викриття вразливостей. Також тут є рушій для парсингу коду — так званий Glider, що дає змогу проводити аналіз уже розміщених смартконтрактів, та сховище даних на основі ZK-proof технології, що покликане забезпечити юзерам доступ до матеріалів для перевірки унікальності виявлених вразливостей та захистити права етичних хакерів, які їх подали. На платформі доступні баунті-програми від Scroll, Layerswap, PancakeSwap, Metis та інших проєктів.
5. Sherlock
Рейтинг аудиторів платформи Sherlock. Джерело: sherlock.xyz
Sherlock надає етичним хакерам середовище для змагань у пошуку вразливостей. Платформа побудована на блокчейні Ethereum і слугує для забезпечення взаємодії між експертами в галузі кібербезпеки та протоколами-замовниками. Виявивши помилку, аудитор отримує винагороду у формі стейблкоїна USDC. Таблиця лідерів Sherlock розподіляє ревізорів за ступенем їхньої ефективності. Від моменту свого заснування 2021 року платформа вже провела 175 таких імпровізованих турнірів.
У підсумку
Web3-платформи з контрактами на пошук вразливостей надають змогу ентузіастам інвестувати свій час і навички в зміцнення безпеки індустрії, і отримати натомість винагороду. Кожна з перерахованих вище платформ дозволить підібрати для себе відповідний проєкт і приєднатися до роботи над його структурою. Крім баг-баунті платформ, орієнтованих на Web3, програми заохочення можна знайти і на інших майданчиках, як-от HackerOne і Intigriti.Фактично це інструмент для пошуку підробітку, який можна перетворити на свою основну діяльність. Він підійде як новачкам у секторі, так і експертам.