Sky Mavis – das Unternehmen hinter Axie Infinity – bietet jedem, der größere Sicherheitslücken auf seiner Plattform identifizieren kann, bis zu 1 Million US-Dollar. Dies geschah, nachdem das Unternehmen vom größten Defi-Hack der Geschichte getroffen wurde, bei dem über 600 Millionen US-Dollar von der Ronin-Brücke abgezogen wurden.
Ein Aufruf an die Whitehats
Laut der Website des Unternehmens wird sich das Sky Mavis Bounty Program auf die Bugcrowd Vulnerability Rating Taxonomy beziehen. Das System wird Sky Mavis dabei helfen, die Erkenntnisse seiner Community zu Sicherheitsproblemen zu priorisieren und zu bewerten. Je schwerwiegender und störender für das Geschäft eine bestimmte Schwachstelle ist, desto größer ist die Belohnung für ihre Entdeckung.
Potenzielle Schwachstellen werden in zwei Kategorien unterteilt: „Smart Contracts und Blockchain“ sowie „Web und Apps“. Eine Liste der Smart Contracts und Web-Apps, die für eine Prüfung in Frage kommen, wird bereitgestellt.
Schwachstellen in der Web- und App-Sicherheit bieten im Allgemeinen weniger Belohnungen, wobei ein Maximum von 15.000 US-Dollar für „kritische“ Ergebnisse angeboten wird. Im Gegensatz dazu versprechen Blockchain-Schwächen Belohnungen in fünf Schweregraden, die von 1000 US-Dollar für „niedrige“ Risikobefunde bis zu 1.000.000 US-Dollar für „tödliche“ reichen. Diese Belohnungen werden in Axie Infinity Shards (AXS) ausbezahlt.
Das Programm kommt jedoch mit strengen und spezifischen Regeln. Beispielsweise müssen Schwachstellen Proof of Concept beinhalten, anstatt rein theoretisch zu bleiben. Sie dürfen keinen Root/Jailbreak erfordern und müssen spürbare Auswirkungen auf die Sicherheit haben. Berichte von automatisierten Tools und Scans sind ebenfalls nicht zulässig.
Stattdessen priorisiert das Programm Probleme wie Wiedereintritt und Logikfehler, die Benutzerauthentifizierungsfehler beinhalten. Probleme mit Überlastung/Skalierbarkeit, Konsensfehlern und Block-Zeitstempel-Manipulation sind ebenfalls zulässige Probleme.
„Aufruf an alle Whitehats im Blockchain-Bereich“, twitterte Alexsander Larsen, COO von Sky Mavis, am Montag. „Das Sky Mavis Bug Bounty-Programm ist da. Helfen Sie uns, das Ronin-Netzwerk sicher zu halten, während Sie ein Kopfgeld verdienen.“
„Whitehat-Hacker“ sind Menschen, die Hacking-Fähigkeiten für einen guten Zweck einsetzen, um Unternehmen über Sicherheitslücken zu informieren und ihre Netzwerke zu stärken. Im Januar gab ein Whitehat-Hacker ETH im Wert von etwa 813.000 US-Dollar an das Multichain-Protokoll zurück, das am Vortag von einem 2-Millionen-Dollar-Hack betroffen war.
Zusammenfassung: Der Ronin-Bridge-Hack
Ende letzten Monats, Ronin – die Ethereum Sidechain, auf der Axie Infinity operiert – sah über 600 Millionen Dollar an ETH und USDC, die von seiner Blockchain-Brücke abgezogen wurden. Der Hacker hat dies geschafft, indem er einen Großteil der Validator-Knoten von Ronin kompromittiert hat.
Der Hack wurde erst 6 Tage, nachdem er stattfand, bemerkt. Seitdem arbeitet Sky Mavis daran, die gestohlenen Gelder wiederzuerlangen, und versprach den betroffenen Axie-Spielern eine Rückerstattung. Allerdings scheint der Hacker die Gelder bereits in kleinen Chargen über einen Mischdienst zu verschleiern.