Hakerzy Whitehat koncentrują się na Ethereum, Solanie i Avalanche: Immunefi

Hakerzy Crypto Whitehat są głównie zainteresowani blockchainem Ethereum.

Tak wynika z analizy ekosystemu etycznych hakerów opracowanej przez skupioną na Web3 platformę nagród za błędy Immunefi w 2023 r. raport, którego celem jest mapowanie zainteresowań, wyzwań i możliwości białych kapeluszy w web3. Ale pieniądze to nie wszystko, a większość motywowana jest rozwiązywaniem problemów technicznych zdecentralizowanych aplikacji.

Preferencje dotyczące łańcucha bloków

Ethereum było przytłaczającą preferencją wśród białych kapeluszy, a 92% respondentów zainteresowało się blockchainem. Solana zajęła drugie miejsce z wynikiem 31%, a Avalanche (20.4%), Cosmos (13.3%) i Tezos (8%) znalazły się w pierwszej piątce. Polygon, Arbitrum, Optimism, Near, Polkadot, BNB Chain, Fantom i zkSync również były na ich radarze.

Jednak zainteresowanie Ethereum spadło z 96.4% w poprzednim badaniu Immunefi. Solana była świadkiem największego spadku, o 51.6%, podczas gdy Tezos odnotował największy wzrost, o 122.2%.

Wektory ataku

Ataki typu „reentrancy” (umożliwiające złośliwym stronom wielokrotne drenowanie środków z inteligentnych kontraktów poprzez wykorzystanie kolejności wykonania kodu) zostały wymienione jako najczęstsze luki w zabezpieczeniach wykrywane podczas przeglądania kodu (43.2%), następnie kontrola dostępu (18.2%), walidacja danych wejściowych (9.1%) %), manipulacji wyrocznią (6.8%) i błędów logicznych (6.8%).

Większość „białych kapeluszy” (76.1%) odnotowała wzrost powierzchni ataków w kryptowalutach. Jednak większość (88.5%) zgodziła się również, że środki bezpieczeństwa projektów ulegają poprawie.

Nagrody za błędy

Wielkość nagrody była wskazywana jako główny czynnik (66.4%) dla białych kapeluszy przy wyborze programów bounty, chociaż wysoko ceniono również zaufanie, zakres i efektywną komunikację. 

Po wypłaceniu ponad $ 52 mln w nagrodach dla etycznych hakerów za znalezienie luk w protokołach web3 w zeszłym roku, Immunefi zdominowało nagrody za błędy kryptograficzne. Natomiast druga najpopularniejsza platforma, HackenProof, zapłaciła łącznie ok $ 4.8 mln do białych kapeluszy.

Immunefi twierdzi, że wypłacił więcej niż $ 65 mln w sumie nagrody od 2020 r., pomagając zabezpieczyć 25 miliardów dolarów funduszy użytkowników w protokołach takich jak Chainlink, MakerDAO, The Graph, Polygon i Synthetix. Najwyższą nagrodą zapewnioną przez Immunefi był a $ 10 mln nagroda za lukę wykrytą w tunelu czasoprzestrzennym, ogólnym protokole przesyłania wiadomości między łańcuchami. 

W zeszłym miesiącu Immunefi zgłaszane że płatności krypto ransomware wygenerowały ponad 69.3 miliona dolarów z 10 największych ataków od 2020 roku. W styczniu badacz bezpieczeństwa Immunefi Stephen Schwartz wygrywa nagrodę w wysokości 1 miliona dolarów po uratowaniu potencjalnej kradzieży 200 milionów dolarów od trzech parałańcuchów Polkadot.

Demografia i styl życia

Większość białych kapeluszy (54%) mieści się w coraz bardziej dominującym przedziale wiekowym 20-29 lat, co stanowi wzrost z 45.7% w poprzednim okresie, z 21.2% respondentów w wieku od 30 do 39 lat i 12.4% w wieku od 40 do 49 lat. kobiet dołączających do społeczności etycznych hakerów, wzrost o 45.8% do 3.5%, mężczyźni w białych kapeluszach nadal stanowią największy odsetek (95.5%).

Większość respondentów pracowała w branży kryptograficznej od około czterech lat, a większość (55.8%) rozważała hakowanie swojej podstawowej pracy, choć to spadek w porównaniu z 60.2% w poprzednim okresie. Poza zainteresowaniem rozwiązywaniem problemów technicznych (77%) i zdobywaniem nagród finansowych (69%), silnymi czynnikami motywującymi były również możliwości kariery (62%) i społeczność (38%).

Wyzwania i możliwości

Zapytani o największe wyzwania, jakie napotkali whitehatowie w zakresie bezpieczeństwa Web3, większość respondentów zwróciła uwagę na stromą krzywą uczenia się wymaganą niezależnie od wcześniejszego wykształcenia lub doświadczenia oraz potrzebę większej ilości dostępnych zasobów. Kolejną bolączką była szybko rozwijająca się natura technologii, a także złożoność kodowania Solidity, protokołów i możliwych wektorów ataku.

Jeśli chodzi o możliwości, respondenci byli podekscytowani wyzwaniem, jakim jest nauka i praca nad nową technologią, uznając web3 za dobrze płatną branżę z potencjałem długoterminowej kariery na ważnych stanowiskach.