ImmuneFiについての紹介:世界で最もリーディングなバグ報酬プラットフォーム
ブロックチェーン業界は攻撃に馴染みがありません。なぜなら、それは数十億のデジタル資産を保管し保護しているからです。ラディアントキャピタルやモーフォラボなどのプロジェクトがハッキング被害に遭い、10月だけで5500万ドル以上の損失が発生しました。これらのハッキングは、元のプロジェクトのコードのバグを標的にして、抜け道や裏口を探し出します。
この問題を緩和するために非中央集権的なソリューションの必要性を認識したため、ミッチェル・アマドール氏はImmuneFiを設立しました。ImmuneFiは、どんなに小さな問題でも問題を引き起こす可能性のあるバグからブロックチェーンプロジェクトを保護するためのものです。したがって、ImmuneFiの機能とブロックチェーンコミュニティへの利益を理解する必要があります。
ImmuneFiとは何ですか?
ソース:イミュニーファイ
Immunefiは、ブロックチェーンシステム、スマートコントラクト、および分散型アプリケーション(dApps)のバグを特定し、対処することで、Web3プロジェクトを保護するセキュリティプラットフォームです。バグとは、シンプルにシステムのコード内の欠陥や脆弱性です。基本的に、ImmuneFiはホワイトハットハッカーに報酬を与え、報告してもらうことでシステムの脆弱性の深刻度に基づいて報酬を与えることで、彼らを奨励します。
Immunefiはバグ報奨金サービスに加え、ブロックチェーンのセキュリティ向上に役立つ様々なツールを提供しています。これらのツールにはネットワークホスティング、バグ報告のトリアージプロセスの管理、および異なるプロジェクトの全セキュリティプログラムの監督が含まれます。彼らのスマートコントラクトサービスは、コードレビューの実施や脆弱性の検出などに特に役立ち、悪意のある行為者からの保護に役立ちます。Immunefiは、メインネットでクリティカルなバグを発見した1000人以上のセキュリティリサーチャーのエコシステムを誇っています。
ImmuneFiの歴史
ImmuneFi was founded by ミッチェル・アマドールは、2020年12月9日にプラットフォームを立ち上げました。ImmuneFiのアイデアは、2020年初頭にスイスアルプスでのハイキング旅行中に、別の暗号通貨プロジェクトがハッキング事件の犠牲になっていることを発見したときに思いつきました。今回のインシデントは、DeFiやWeb3の脆弱性に対処する既存のソリューションがなかったため、DeFiやWeb3の分野におけるセキュリティ向上が急務であることを浮き彫りにしました。
この問題に取り組む才能がコミュニティ内に存在することに気付いたAmadorは、ハッカーにプロジェクトの保護を手助けするためのインセンティブを与えるために統一されたプラットフォームが必要であると認識しました。これがWeb3アプリケーションのセキュリティを向上させることに特化したバグバウンティプラットフォームImmunefiの創設につながりました。
ImmuneFiは設立以来、リーディングプロジェクトとのパートナーシップを確立し、強固な評判を築いています。シンセティックス, TheGraph, ポリゴン、MakerDAO, ネクサス相互, SushiSwap, ベスパーファイナンス, バンコールネットワーク、そしてChainlink. 今日、ImmuneFiはWeb3のトップバグバウンティプラットフォームであり、330以上のプロジェクトにサービスを提供しています。
ImmuneFiの影響は大きく、プラットフォームは報告によると25億ドル以上を節約する潜在的なハッキングからのユーザー資金を保護し、10億ドル以上の報酬を支払っています。現在、このプラットフォームは、ユーザー資産の1,900億ドル以上を保護し、仮想通貨の常に進化する世界でコミュニティ主導のセキュリティの重要性を強調しています。
ImmuneFiはどのように機能しますか?
ImmuneFiは、概念実証のコンセンサスメカニズムによってサポートされた透明なバグ報奨制度を運営しています。概念実証は、スマートコントラクトやブロックチェーンシステムの欠陥を示すホワイトハットによって書かれた基本的な機能コードであり、ライブ環境で問題を引き起こさずにこれらの欠陥がどのように悪用されるかを示すために作成されます。そのため、これらはプロジェクトにおけるバグの潜在的な影響を証明する標準的な方法として機能します。ImmuneFiのほとんどすべてのバグ報奨プログラムで必要とされています。
ImmuneFiの業務は、ホワイトハットハッカーとプロジェクトオーナーの両方に対応しています。ホワイトハットは、悪意のある行為者がそれを悪用する前に、システムやソフトウェアの脆弱性を特定し解決する倫理的なハッカーです。それらの悪意のある行為者はブラックハットとして知られており、個人的な利益のために違法な活動に従事していますが、ホワイトハットは合法的な範囲内で活動し、しばしば組織と協力してセキュリティを強化します。
一方で、システムの脆弱性を特定し修正するサイバーセキュリティ専門家であるホワイトハットハッカーは、Web3空間の信頼性のあるプロジェクトから1億6200万ドル以上の価値があるバグ報酬の選択肢を探索します。参加者は自分のスキルセットに合ったプログラムを見つけたら、報酬の要件を確認し、審査対象となる具体的なコードを調査することができます。ただし、報酬範囲で指定されたコード内で発見されたバグのみが報酬の対象となります。
バグを見つけた後、ホワイトハットハッカーはアカウントを作成し、バグを提出する必要がありますImmuneFiバグプラットフォーム. ImmuneFiチームがバグの妥当性を確認したら、報酬ハンターとクライアントと手を組んで問題を解決し、その後に支払いが行われます。
プロジェクトオーナー側では、バグ報酬のオンボーディングフォームに記入する必要があります。その後、アンケートを受け取ります。ImmuneFiはそのアンケートの回答を使用して、バグ報酬プログラムの草案を作成します。その後、プロジェクトはバグ報酬の草案をクライアントに送付してレビューを受けます。すべてが良ければ、報酬はローンチスペシャリストに引き渡され、クライアントのマーケティングチームと最適なローンチ時期やその他のマーケティングの詳細を決定するために作業します。
クライアントサービスとして、ImmuneFiは脆弱性のバグフィックスレビューを作成して、プロジェクトのセキュリティに対するコミットメントを大きな仮想通貨コミュニティに思い出させます。また、パッチの脆弱性を効果的に伝えるためのPR支援やアドバイスも提供しています。
ImmuneFiも使用しています重要度分類システムバグレポートを効率的に管理するためのシステム。このシステムでは、脆弱性をユーザー資金、ネットワーク機能、および全体的なプロトコルセキュリティへの潜在的な影響に基づいて分類します。ImmuneFiネットワーク内の各プロジェクトには、プロジェクトのバグバウンティプログラムページの「脅威レベル別報酬」セクションで見つかる重大度レベルが割り当てられています。
最新バージョンのImmunefi脆弱性重要度分類システム(v2.3)重要度の4段階スケールを使用しています: クリティカル、ハイ、ミディアム、およびロー。 クリティカルな脆弱性は、完全なネットワークの停止や重大な資金の盗難など、深刻な結果につながる可能性がありますが、より低いカテゴリーは、スマートコントラクトの軽微なバグなど、より軽度な問題に焦点を当てています。
システムは、テストファイルの脆弱性、ガバナンスに関連する攻撃、およびImmuneFiの管轄外の経済リスクを含むスコープ外と見なされる領域も明確にしています。このフレームワークは、脆弱性の分類と対処のための標準ガイドラインを提供することで、開発者がプロジェクトのセキュリティを向上させるのに役立ちます。また、エシカルで安全なセキュリティテストの実践を確保するために、バグバウンティプログラム内のすべての禁止行為を明確にしています。
ImmuneFiの主な特徴
ImmuneFiには、いくつかの興味深い機能があります。
ImmuneFi Profiles
ソース: イミュニファイ
ImmuneFiプロファイルホワイトハットが世界に自分の実績を披露し、報告した脆弱性、収益、受けたバッジや賞、ImmuneFiリーダーボード上のランクなどを含めて、手助けする
まだ最初のバージョンですが、プロファイルは少なくとも1つの有料レポートを持つすべてのホワイトハットに利用可能になります。ただし、今後のアップデートでは、研究コミュニティ全体がプロファイルにアクセスできるようになります。新しいバージョンには、Contribution Feedなどの新機能も含まれ、ユーザーは時間の経過とともにレポートを表示して影響を追跡できます。
ImmuneFiには、参加者のプロフィールに付けられる6つのバッジがあります。これには、次のものが含まれます:
- One Of Us: このバッジは、Immunefiプロファイルを完了し、すべてのソーシャルメディアリンクを含む場合に授与されます。
- BMWを購入しました:ImmuneFiで10万ドル以上を稼いだら。
- 外には草がありますよ:あなたが100万ドル以上稼いだときに。
- フレンズ・イン・ハイ・プレイシズ:あなたがあなたのImmunefiプロフィールをあなたのTwitterバイオにリンクした後(表示まで最大24時間かかる場合がありますが、通常は10分で登録されます)。
- ハイファイブ:Immunefiで5つの報酬を受け取った後。
- Rocketman: 有効な報酬をBoostから特定するとき。
後のアップデートで、さらにバッジ、ブーストカード、そして実績が追加されます。
監査コンペティション
Source: イミュニファイ
An 監査競争ホワイトハット向けの報酬プールを持つ、時間厳守のコードレビューです。これらのイベントでは、倫理的ハッカーがセキュリティの脆弱性を報告し、Immunefiの格付けシステムによって発見の影響と深刻さに基づいて報酬が割り当てられます。
Immunefiは、各ブロックチェーンプロジェクトと提携し、報酬プールのサイズやイベントの期間を決定し、熟練した研究者を引き付けるための専門のマーケティング支援を提供するために、競争をカスタマイズします。
コンペティションが終了すると、参加者は貢献に対して報酬を受け取り、プロジェクトはイベント中に得られた主な調査結果と洞察の総括報告書を受け取ります。
開発者は、監査コンペティションを数日で開始し、コンペティションの進行中にリアルタイムの更新を取得できます。また、ほとんどの監査コンテストよりも経済的で、手数料が20%安く、開発者とより広範で熟練したセキュリティ研究者のコミュニティを結びつけることができます。
もう1つの注目すべき特徴はリーディングボードです。これにより、参加者は自分のパフォーマンスを追跡し、比較することができます。さらに、もし他の研究者が最初にバグを発見した場合でも、開発者はまだ報酬を受け取ることができます。同じ問題を特定できるすべての人と賞金が共有されるため、急いで対応するプレッシャーが軽減され、チームワークが促進されます。
ホワイトハットアワード
ソース:中程度
イミュニーファイホワイトハットアワードは、Web3セキュリティの向上に重要な役割を果たしたホワイトハットの優れた取り組みを祝うために設計されています。これらの賞は、セキュリティの脆弱性に対する責任ある報告を行った個人を認識し、デジタルNFTや高級商品などの異なる形式の認識を提供します。
報酬は段階的な構造に従っており、報告書が支払い対象となるか、あるいは特定の報酬の閾値を達成するなどの特定の目標を達成するハッカーにインセンティブを与えています。現在、段階はイニシエイトティア(ImmuneFiで5万ドル以上を獲得したホワイトハット向け)とエリートティア(10万ドル以上を獲得したユーザー向け)の2つに分かれています。ただし、将来的にはマスターティア(100万ドル以上の収益)やグランドマスターティア(1000万ドル以上の収益)などのさらなる段階が発表される予定です。
ホワイトハットの殿堂コレクション
ソース:イミュニフィ
ホワイトハットの殿堂は、世界で最も称賛されているホワイトハットのためのNFTコレクションです。この殿堂のカードの保持者は、世界で最も才能のある重要なハッカーと見なされています。彼らはWeb3セキュリティへの貢献を永遠に讃えるために特別にデザインされたNFTを受け取ります。
各NFTはユニークであり、重要で成功したバグレポートごとに特別に製造されます。保有者は無料で保管するか、Web3セキュリティの歴史的な瞬間を祝福するために興味を持つコレクターに売却することができます。
招待のみ
源:immunefi
ImmuneFi招待制プログラムは、特定のバグ報酬プロジェクトに最も適任の研究者のみを選択するよう設計されています。この選択プロセスでは、各プロジェクトの技術要件とエコシステムを考慮し、研究者の専門知識が効果的な監査やバグ報酬の関与に適切に合致することを確認します。
このプログラムの主な特徴は、プライバシーと機密性の維持に対するコミットメントです。プロジェクトチームは、機密保持に関する具体的な合意、資産の可視性の制御、および調査結果の公開に関連する好みを含めたプロトコルをカスタマイズすることができます。これにより、機密情報が安全に取り扱われ、プロジェクトが最高水準のセキュリティ専門家と協力しながらプライバシースタンダードを維持できるようになります。
重大な脆弱性と重要なセキュリティ問題に集中することで、招待制のプログラムは効果的に潜在的な脅威が現れる時間枠を最小限に抑えます。これにより、セキュリティ上の懸念事項の迅速な検出と解決が図られ、最終的にはブロックチェーンプロジェクト全体のセキュリティが向上します。
ImmuneFiボールト
ソース:immunefi
ImmuneFi Vaultsは、ホワイトハットとプロジェクトオーナーの間の透明性と信頼を高めるために設計されており、彼らがバグ報奨金資産と支払いを安全に管理するのを支援します。プロジェクトは、彼らの保管庫から資金を預け入れたり引き出したりすることができ、報奨金に割り当てられた残高はホワイトハットにも見えます。この透明性のレベルは信頼を築くのに役立ち、ホワイトハットはプロジェクトがバグの報酬を支払うための十分な資金を持っていると確信しているので、トップクラスのバグレポートを提出することを奨励されます。
プロジェクトは10分未満で彼らの金庫を設定できます。有効なバグレポートを確認した後、支払いはプロジェクトの金庫から直接発行され、取引はシームレスで安全です。このシステムには、エラーや誤った支払いを防ぐためのウォレットの検証などの機能も含まれています。
Vaultsは現在、EthereumとOptimismで利用可能であり、Polygon、Gnosis Chain、Arbitrumなどの他のEVMチェーンにも期待されています。プロジェクトは、ステーブルコイン、ETH、およびUniswapのトークンリストにあるその他の資産を預けることができます。また、1回の取引で1つ以上の資産で報酬を支払うこともできます。
ImmuneFi Safe Harbor
出典: immunefi
ImmuneFi Safe Harborは、セキュリティ・アライアンス(SEAL)が作成した法的枠組みであり、ホワイトハットがプロジェクトがブラックハットまたは悪意のあるアクターに攻撃されているときに資金を保護できるようにするものです。この枠組みにより、彼らはそのような攻撃のリスクにさらされている資金を回収し、Immunefiが管理する指定されたVaultに安全にリダイレクトすることができます。これにより、これらの研究者はプロジェクトで利用可能な最大のクリティカル報酬の最大60%を獲得することができます。
Immunefiは、既存のバグ報酬プログラムにSafe Harborを統合しました。Safe Harborも既存のバグ報告ダッシュボードを使用しているため、プロジェクトは同じ緊急アラートシステムとセキュリティ担当者を利用できます。そのため、Safe HarborはImmuneFiのバグ報酬プログラムの延長として機能します。
Immune Fi ハッカーによって見つかる共通のバグ
リエントランシー
再入可能性の脆弱性は、最初の実行が完了する前にスマートコントラクトが複数回呼び出される場合に発生します。これにより、攻撃者は悪意のあるコードを挿入し、同じコントラクトを繰り返し呼び出して資金を排出したり、状態を変更したりすることができます。有名な例としては、2016年のDAOハックがあります。これは初期のEthereumネットワークを標的にしました。再入可能性の問題を回避するために、開発者は再入ガードを使用して、単一の操作中に複数の呼び出しを防止することができます。
オラクル/価格操作
価格オラクルは、トークン価格などの重要な市場データをスマートコントラクトに供給します。したがって、オラクルの操作は、攻撃者がこれらのデータフィードを悪用して誤った情報を提供することを含み、正確な価格計算につながります。たとえば、オラクルの改ざんにより、攻撃者はトークン価格を膨らませ、取引中に利益を得ることができます。これを防ぐために、開発者は複数のソースからデータを集約する分散型オラクルを使用しています。
弱いアクセス制御
ほとんどのシステムでは、不正アクセスから保護するために、ロールベースのアクセス許可や堅牢な認証などの厳格なアクセス制御手段が採用されています。これらの制御により、ユーザーとプロセスには、特定のロールに必要なアクセス許可のみが付与されます。各ロールの機能と制限を文書化することで、潜在的な脆弱性を特定し、より効果的な単体テストと競合解決が可能になります。このプロセスにより、システムが意図したとおりに動作し、過失や設定ミスによって引き起こされる重大な脆弱性のリスクが軽減されます。
さらに、各役割の権限を制限することが重要です。過剰な権限の付与や中央集権的な制御への過度な依存は、アカウントや秘密鍵が侵害された場合に大きな損害をもたらす可能性があります。役割を小さなセグメントに分割することで、そのような侵害の影響を軽減し、システムの安定性を高めることができます。
リーディング
フロントランニングは、攻撃者がブロックチェーン取引の公開性を悪用すると発生します。攻撃者は、メモリプール(ブロックチェーン上で実行されていない取引を一時的に格納する領域)で保留中の取引を観察し、その後、被害者の取引よりも高いガス手数料を持つ取引を実行することで、被害者の取引よりも先に実行します。これは特に分散型取引所でよく見られる現象であり、タイミングが取引の結果に影響を与えることがあります。
未初期化のプロキシ
プロキシコントラクトが初期化されていない場合、プロキシコントラクト内のストレージ変数が使用前に正しく設定されていないことがあります。適切な構成の欠如は、これらの初期化されていない変数に重要なデータを保持したり、主要な契約機能に影響を与えたりする可能性があるため、セキュリティリスクにつながります。悪意のあるハッカーは、これらの脆弱性を悪用して、初期化されていない変数を操作して不正アクセスを行うことができます。
ImmuneFiに関するニュース
2024年10月号の暗号通貨損失レポートImmuneFiは、今年、暗号コミュニティが直面している損失に関する興味深い統計を共有しました。報告によると、2024年10月までに、179件の事件で暗号コミュニティはハッキングやラグプルにより合計14億1,000万7,300,177ドルを失いました。これは2023年10月からの1%の減少であり、その際の損失額は14億1,400万6,419,935ドルでした。
2024年10月、暗号コミュニティは7つのインシデント全体で最大55,138,600ドルの損失を被り、詐欺は報告されていませんでした。これは2023年10月から114%増加し、2024年9月から56.6%減少しました。最も大きな損失はRadiant Capital(5000万ドル)とTapioca DAO(440万ドル)からでした。DeFiだけが影響を受け、BNB Chainが最も標的にされ、総損失の50%を占めました。ImmuneFiは1億ドル以上の報酬を支払い、利用者の資金を250億ドル以上節約しました。
ImmuneFiは良い投資ですか?
ImmuneFiは、暗号通貨業界でのリーディングなバグバウンティプログラムとしての評判を築いています。一般的なスコープのバグバウンティプログラムや、招待制のプログラムのようなカスタマイズされたソリューションを提供しています。ImmuneFiは、ホワイトハットハッカーとプロジェクトオーナーの出会いの場であり、プロジェクトのセキュリティを確保するお手伝いをしています。そのセキュリティの専門知識と柔軟なアプローチにより、ImmuneFiはプロジェクトがより安全なエコシステムを構築するのに役立っています。
مقالات ذات صلة
ステーブルコインとは何ですか?
Cotiとは? COTIについて知っておくべきことすべて
ImmuneFiについての紹介:世界で最もリーディングなバグ報酬プラットフォーム
ImmuneFiとは何ですか?
ImmuneFiはどのように機能するのですか?
ImmuneFiの主な特長
ImmuneFi Vaults
ImmuneFi Safe Harbor
Immune Fiハッカーによって見つかった一般的なバグ
ImmuneFiのニュース
ImmuneFiは良い投資ですか?
ブロックチェーン業界は攻撃に馴染みがありません。なぜなら、それは数十億のデジタル資産を保管し保護しているからです。ラディアントキャピタルやモーフォラボなどのプロジェクトがハッキング被害に遭い、10月だけで5500万ドル以上の損失が発生しました。これらのハッキングは、元のプロジェクトのコードのバグを標的にして、抜け道や裏口を探し出します。
この問題を緩和するために非中央集権的なソリューションの必要性を認識したため、ミッチェル・アマドール氏はImmuneFiを設立しました。ImmuneFiは、どんなに小さな問題でも問題を引き起こす可能性のあるバグからブロックチェーンプロジェクトを保護するためのものです。したがって、ImmuneFiの機能とブロックチェーンコミュニティへの利益を理解する必要があります。
ImmuneFiとは何ですか?
ソース:イミュニーファイ
Immunefiは、ブロックチェーンシステム、スマートコントラクト、および分散型アプリケーション(dApps)のバグを特定し、対処することで、Web3プロジェクトを保護するセキュリティプラットフォームです。バグとは、シンプルにシステムのコード内の欠陥や脆弱性です。基本的に、ImmuneFiはホワイトハットハッカーに報酬を与え、報告してもらうことでシステムの脆弱性の深刻度に基づいて報酬を与えることで、彼らを奨励します。
Immunefiはバグ報奨金サービスに加え、ブロックチェーンのセキュリティ向上に役立つ様々なツールを提供しています。これらのツールにはネットワークホスティング、バグ報告のトリアージプロセスの管理、および異なるプロジェクトの全セキュリティプログラムの監督が含まれます。彼らのスマートコントラクトサービスは、コードレビューの実施や脆弱性の検出などに特に役立ち、悪意のある行為者からの保護に役立ちます。Immunefiは、メインネットでクリティカルなバグを発見した1000人以上のセキュリティリサーチャーのエコシステムを誇っています。
ImmuneFiの歴史
ImmuneFi was founded by ミッチェル・アマドールは、2020年12月9日にプラットフォームを立ち上げました。ImmuneFiのアイデアは、2020年初頭にスイスアルプスでのハイキング旅行中に、別の暗号通貨プロジェクトがハッキング事件の犠牲になっていることを発見したときに思いつきました。今回のインシデントは、DeFiやWeb3の脆弱性に対処する既存のソリューションがなかったため、DeFiやWeb3の分野におけるセキュリティ向上が急務であることを浮き彫りにしました。
この問題に取り組む才能がコミュニティ内に存在することに気付いたAmadorは、ハッカーにプロジェクトの保護を手助けするためのインセンティブを与えるために統一されたプラットフォームが必要であると認識しました。これがWeb3アプリケーションのセキュリティを向上させることに特化したバグバウンティプラットフォームImmunefiの創設につながりました。
ImmuneFiは設立以来、リーディングプロジェクトとのパートナーシップを確立し、強固な評判を築いています。シンセティックス, TheGraph, ポリゴン、MakerDAO, ネクサス相互, SushiSwap, ベスパーファイナンス, バンコールネットワーク、そしてChainlink. 今日、ImmuneFiはWeb3のトップバグバウンティプラットフォームであり、330以上のプロジェクトにサービスを提供しています。
ImmuneFiの影響は大きく、プラットフォームは報告によると25億ドル以上を節約する潜在的なハッキングからのユーザー資金を保護し、10億ドル以上の報酬を支払っています。現在、このプラットフォームは、ユーザー資産の1,900億ドル以上を保護し、仮想通貨の常に進化する世界でコミュニティ主導のセキュリティの重要性を強調しています。
ImmuneFiはどのように機能しますか?
ImmuneFiは、概念実証のコンセンサスメカニズムによってサポートされた透明なバグ報奨制度を運営しています。概念実証は、スマートコントラクトやブロックチェーンシステムの欠陥を示すホワイトハットによって書かれた基本的な機能コードであり、ライブ環境で問題を引き起こさずにこれらの欠陥がどのように悪用されるかを示すために作成されます。そのため、これらはプロジェクトにおけるバグの潜在的な影響を証明する標準的な方法として機能します。ImmuneFiのほとんどすべてのバグ報奨プログラムで必要とされています。
ImmuneFiの業務は、ホワイトハットハッカーとプロジェクトオーナーの両方に対応しています。ホワイトハットは、悪意のある行為者がそれを悪用する前に、システムやソフトウェアの脆弱性を特定し解決する倫理的なハッカーです。それらの悪意のある行為者はブラックハットとして知られており、個人的な利益のために違法な活動に従事していますが、ホワイトハットは合法的な範囲内で活動し、しばしば組織と協力してセキュリティを強化します。
一方で、システムの脆弱性を特定し修正するサイバーセキュリティ専門家であるホワイトハットハッカーは、Web3空間の信頼性のあるプロジェクトから1億6200万ドル以上の価値があるバグ報酬の選択肢を探索します。参加者は自分のスキルセットに合ったプログラムを見つけたら、報酬の要件を確認し、審査対象となる具体的なコードを調査することができます。ただし、報酬範囲で指定されたコード内で発見されたバグのみが報酬の対象となります。
バグを見つけた後、ホワイトハットハッカーはアカウントを作成し、バグを提出する必要がありますImmuneFiバグプラットフォーム. ImmuneFiチームがバグの妥当性を確認したら、報酬ハンターとクライアントと手を組んで問題を解決し、その後に支払いが行われます。
プロジェクトオーナー側では、バグ報酬のオンボーディングフォームに記入する必要があります。その後、アンケートを受け取ります。ImmuneFiはそのアンケートの回答を使用して、バグ報酬プログラムの草案を作成します。その後、プロジェクトはバグ報酬の草案をクライアントに送付してレビューを受けます。すべてが良ければ、報酬はローンチスペシャリストに引き渡され、クライアントのマーケティングチームと最適なローンチ時期やその他のマーケティングの詳細を決定するために作業します。
クライアントサービスとして、ImmuneFiは脆弱性のバグフィックスレビューを作成して、プロジェクトのセキュリティに対するコミットメントを大きな仮想通貨コミュニティに思い出させます。また、パッチの脆弱性を効果的に伝えるためのPR支援やアドバイスも提供しています。
ImmuneFiも使用しています重要度分類システムバグレポートを効率的に管理するためのシステム。このシステムでは、脆弱性をユーザー資金、ネットワーク機能、および全体的なプロトコルセキュリティへの潜在的な影響に基づいて分類します。ImmuneFiネットワーク内の各プロジェクトには、プロジェクトのバグバウンティプログラムページの「脅威レベル別報酬」セクションで見つかる重大度レベルが割り当てられています。
最新バージョンのImmunefi脆弱性重要度分類システム(v2.3)重要度の4段階スケールを使用しています: クリティカル、ハイ、ミディアム、およびロー。 クリティカルな脆弱性は、完全なネットワークの停止や重大な資金の盗難など、深刻な結果につながる可能性がありますが、より低いカテゴリーは、スマートコントラクトの軽微なバグなど、より軽度な問題に焦点を当てています。
システムは、テストファイルの脆弱性、ガバナンスに関連する攻撃、およびImmuneFiの管轄外の経済リスクを含むスコープ外と見なされる領域も明確にしています。このフレームワークは、脆弱性の分類と対処のための標準ガイドラインを提供することで、開発者がプロジェクトのセキュリティを向上させるのに役立ちます。また、エシカルで安全なセキュリティテストの実践を確保するために、バグバウンティプログラム内のすべての禁止行為を明確にしています。
ImmuneFiの主な特徴
ImmuneFiには、いくつかの興味深い機能があります。
ImmuneFi Profiles
ソース: イミュニファイ
ImmuneFiプロファイルホワイトハットが世界に自分の実績を披露し、報告した脆弱性、収益、受けたバッジや賞、ImmuneFiリーダーボード上のランクなどを含めて、手助けする
まだ最初のバージョンですが、プロファイルは少なくとも1つの有料レポートを持つすべてのホワイトハットに利用可能になります。ただし、今後のアップデートでは、研究コミュニティ全体がプロファイルにアクセスできるようになります。新しいバージョンには、Contribution Feedなどの新機能も含まれ、ユーザーは時間の経過とともにレポートを表示して影響を追跡できます。
ImmuneFiには、参加者のプロフィールに付けられる6つのバッジがあります。これには、次のものが含まれます:
- One Of Us: このバッジは、Immunefiプロファイルを完了し、すべてのソーシャルメディアリンクを含む場合に授与されます。
- BMWを購入しました:ImmuneFiで10万ドル以上を稼いだら。
- 外には草がありますよ:あなたが100万ドル以上稼いだときに。
- フレンズ・イン・ハイ・プレイシズ:あなたがあなたのImmunefiプロフィールをあなたのTwitterバイオにリンクした後(表示まで最大24時間かかる場合がありますが、通常は10分で登録されます)。
- ハイファイブ:Immunefiで5つの報酬を受け取った後。
- Rocketman: 有効な報酬をBoostから特定するとき。
後のアップデートで、さらにバッジ、ブーストカード、そして実績が追加されます。
監査コンペティション
Source: イミュニファイ
An 監査競争ホワイトハット向けの報酬プールを持つ、時間厳守のコードレビューです。これらのイベントでは、倫理的ハッカーがセキュリティの脆弱性を報告し、Immunefiの格付けシステムによって発見の影響と深刻さに基づいて報酬が割り当てられます。
Immunefiは、各ブロックチェーンプロジェクトと提携し、報酬プールのサイズやイベントの期間を決定し、熟練した研究者を引き付けるための専門のマーケティング支援を提供するために、競争をカスタマイズします。
コンペティションが終了すると、参加者は貢献に対して報酬を受け取り、プロジェクトはイベント中に得られた主な調査結果と洞察の総括報告書を受け取ります。
開発者は、監査コンペティションを数日で開始し、コンペティションの進行中にリアルタイムの更新を取得できます。また、ほとんどの監査コンテストよりも経済的で、手数料が20%安く、開発者とより広範で熟練したセキュリティ研究者のコミュニティを結びつけることができます。
もう1つの注目すべき特徴はリーディングボードです。これにより、参加者は自分のパフォーマンスを追跡し、比較することができます。さらに、もし他の研究者が最初にバグを発見した場合でも、開発者はまだ報酬を受け取ることができます。同じ問題を特定できるすべての人と賞金が共有されるため、急いで対応するプレッシャーが軽減され、チームワークが促進されます。
ホワイトハットアワード
ソース:中程度
イミュニーファイホワイトハットアワードは、Web3セキュリティの向上に重要な役割を果たしたホワイトハットの優れた取り組みを祝うために設計されています。これらの賞は、セキュリティの脆弱性に対する責任ある報告を行った個人を認識し、デジタルNFTや高級商品などの異なる形式の認識を提供します。
報酬は段階的な構造に従っており、報告書が支払い対象となるか、あるいは特定の報酬の閾値を達成するなどの特定の目標を達成するハッカーにインセンティブを与えています。現在、段階はイニシエイトティア(ImmuneFiで5万ドル以上を獲得したホワイトハット向け)とエリートティア(10万ドル以上を獲得したユーザー向け)の2つに分かれています。ただし、将来的にはマスターティア(100万ドル以上の収益)やグランドマスターティア(1000万ドル以上の収益)などのさらなる段階が発表される予定です。
ホワイトハットの殿堂コレクション
ソース:イミュニフィ
ホワイトハットの殿堂は、世界で最も称賛されているホワイトハットのためのNFTコレクションです。この殿堂のカードの保持者は、世界で最も才能のある重要なハッカーと見なされています。彼らはWeb3セキュリティへの貢献を永遠に讃えるために特別にデザインされたNFTを受け取ります。
各NFTはユニークであり、重要で成功したバグレポートごとに特別に製造されます。保有者は無料で保管するか、Web3セキュリティの歴史的な瞬間を祝福するために興味を持つコレクターに売却することができます。
招待のみ
源:immunefi
ImmuneFi招待制プログラムは、特定のバグ報酬プロジェクトに最も適任の研究者のみを選択するよう設計されています。この選択プロセスでは、各プロジェクトの技術要件とエコシステムを考慮し、研究者の専門知識が効果的な監査やバグ報酬の関与に適切に合致することを確認します。
このプログラムの主な特徴は、プライバシーと機密性の維持に対するコミットメントです。プロジェクトチームは、機密保持に関する具体的な合意、資産の可視性の制御、および調査結果の公開に関連する好みを含めたプロトコルをカスタマイズすることができます。これにより、機密情報が安全に取り扱われ、プロジェクトが最高水準のセキュリティ専門家と協力しながらプライバシースタンダードを維持できるようになります。
重大な脆弱性と重要なセキュリティ問題に集中することで、招待制のプログラムは効果的に潜在的な脅威が現れる時間枠を最小限に抑えます。これにより、セキュリティ上の懸念事項の迅速な検出と解決が図られ、最終的にはブロックチェーンプロジェクト全体のセキュリティが向上します。
ImmuneFiボールト
ソース:immunefi
ImmuneFi Vaultsは、ホワイトハットとプロジェクトオーナーの間の透明性と信頼を高めるために設計されており、彼らがバグ報奨金資産と支払いを安全に管理するのを支援します。プロジェクトは、彼らの保管庫から資金を預け入れたり引き出したりすることができ、報奨金に割り当てられた残高はホワイトハットにも見えます。この透明性のレベルは信頼を築くのに役立ち、ホワイトハットはプロジェクトがバグの報酬を支払うための十分な資金を持っていると確信しているので、トップクラスのバグレポートを提出することを奨励されます。
プロジェクトは10分未満で彼らの金庫を設定できます。有効なバグレポートを確認した後、支払いはプロジェクトの金庫から直接発行され、取引はシームレスで安全です。このシステムには、エラーや誤った支払いを防ぐためのウォレットの検証などの機能も含まれています。
Vaultsは現在、EthereumとOptimismで利用可能であり、Polygon、Gnosis Chain、Arbitrumなどの他のEVMチェーンにも期待されています。プロジェクトは、ステーブルコイン、ETH、およびUniswapのトークンリストにあるその他の資産を預けることができます。また、1回の取引で1つ以上の資産で報酬を支払うこともできます。
ImmuneFi Safe Harbor
出典: immunefi
ImmuneFi Safe Harborは、セキュリティ・アライアンス(SEAL)が作成した法的枠組みであり、ホワイトハットがプロジェクトがブラックハットまたは悪意のあるアクターに攻撃されているときに資金を保護できるようにするものです。この枠組みにより、彼らはそのような攻撃のリスクにさらされている資金を回収し、Immunefiが管理する指定されたVaultに安全にリダイレクトすることができます。これにより、これらの研究者はプロジェクトで利用可能な最大のクリティカル報酬の最大60%を獲得することができます。
Immunefiは、既存のバグ報酬プログラムにSafe Harborを統合しました。Safe Harborも既存のバグ報告ダッシュボードを使用しているため、プロジェクトは同じ緊急アラートシステムとセキュリティ担当者を利用できます。そのため、Safe HarborはImmuneFiのバグ報酬プログラムの延長として機能します。
Immune Fi ハッカーによって見つかる共通のバグ
リエントランシー
再入可能性の脆弱性は、最初の実行が完了する前にスマートコントラクトが複数回呼び出される場合に発生します。これにより、攻撃者は悪意のあるコードを挿入し、同じコントラクトを繰り返し呼び出して資金を排出したり、状態を変更したりすることができます。有名な例としては、2016年のDAOハックがあります。これは初期のEthereumネットワークを標的にしました。再入可能性の問題を回避するために、開発者は再入ガードを使用して、単一の操作中に複数の呼び出しを防止することができます。
オラクル/価格操作
価格オラクルは、トークン価格などの重要な市場データをスマートコントラクトに供給します。したがって、オラクルの操作は、攻撃者がこれらのデータフィードを悪用して誤った情報を提供することを含み、正確な価格計算につながります。たとえば、オラクルの改ざんにより、攻撃者はトークン価格を膨らませ、取引中に利益を得ることができます。これを防ぐために、開発者は複数のソースからデータを集約する分散型オラクルを使用しています。
弱いアクセス制御
ほとんどのシステムでは、不正アクセスから保護するために、ロールベースのアクセス許可や堅牢な認証などの厳格なアクセス制御手段が採用されています。これらの制御により、ユーザーとプロセスには、特定のロールに必要なアクセス許可のみが付与されます。各ロールの機能と制限を文書化することで、潜在的な脆弱性を特定し、より効果的な単体テストと競合解決が可能になります。このプロセスにより、システムが意図したとおりに動作し、過失や設定ミスによって引き起こされる重大な脆弱性のリスクが軽減されます。
さらに、各役割の権限を制限することが重要です。過剰な権限の付与や中央集権的な制御への過度な依存は、アカウントや秘密鍵が侵害された場合に大きな損害をもたらす可能性があります。役割を小さなセグメントに分割することで、そのような侵害の影響を軽減し、システムの安定性を高めることができます。
リーディング
フロントランニングは、攻撃者がブロックチェーン取引の公開性を悪用すると発生します。攻撃者は、メモリプール(ブロックチェーン上で実行されていない取引を一時的に格納する領域)で保留中の取引を観察し、その後、被害者の取引よりも高いガス手数料を持つ取引を実行することで、被害者の取引よりも先に実行します。これは特に分散型取引所でよく見られる現象であり、タイミングが取引の結果に影響を与えることがあります。
未初期化のプロキシ
プロキシコントラクトが初期化されていない場合、プロキシコントラクト内のストレージ変数が使用前に正しく設定されていないことがあります。適切な構成の欠如は、これらの初期化されていない変数に重要なデータを保持したり、主要な契約機能に影響を与えたりする可能性があるため、セキュリティリスクにつながります。悪意のあるハッカーは、これらの脆弱性を悪用して、初期化されていない変数を操作して不正アクセスを行うことができます。
ImmuneFiに関するニュース
2024年10月号の暗号通貨損失レポートImmuneFiは、今年、暗号コミュニティが直面している損失に関する興味深い統計を共有しました。報告によると、2024年10月までに、179件の事件で暗号コミュニティはハッキングやラグプルにより合計14億1,000万7,300,177ドルを失いました。これは2023年10月からの1%の減少であり、その際の損失額は14億1,400万6,419,935ドルでした。
2024年10月、暗号コミュニティは7つのインシデント全体で最大55,138,600ドルの損失を被り、詐欺は報告されていませんでした。これは2023年10月から114%増加し、2024年9月から56.6%減少しました。最も大きな損失はRadiant Capital(5000万ドル)とTapioca DAO(440万ドル)からでした。DeFiだけが影響を受け、BNB Chainが最も標的にされ、総損失の50%を占めました。ImmuneFiは1億ドル以上の報酬を支払い、利用者の資金を250億ドル以上節約しました。
ImmuneFiは良い投資ですか?
ImmuneFiは、暗号通貨業界でのリーディングなバグバウンティプログラムとしての評判を築いています。一般的なスコープのバグバウンティプログラムや、招待制のプログラムのようなカスタマイズされたソリューションを提供しています。ImmuneFiは、ホワイトハットハッカーとプロジェクトオーナーの出会いの場であり、プロジェクトのセキュリティを確保するお手伝いをしています。そのセキュリティの専門知識と柔軟なアプローチにより、ImmuneFiはプロジェクトがより安全なエコシステムを構築するのに役立っています。
مقالات ذات صلة
ステーブルコインとは何ですか?