12:37, 03/01/2023
Bug Bounty là một khái niệm cũ mà mới, đặc biệt khi nó được đưa vào sân chơi Web3. Một loạt các cuộc tấn công bảo mật vào năm 2022 cho thấy tầm quan trọng của các chương trình săn lỗi.
Bug Bounty là sáng kiến bảo mật do các dự án, doanh nghiệp hoặc bên thứ ba tổ chức nhằm thu hút cộng đồng “phát hiện” và báo cáo các lỗ hổng bảo mật (bug) trong các hệ thống kỹ thuật. Đặc biệt sẽ có phần thưởng cho người tìm ra bug, nhìn chung bug càng nghiêm trọng thì phần thưởng sẽ càng cao.
Một chương trình săn lỗi chuẩn Web3 bao gồm 2 đối tượng chính như sau:
Đơn vị tổ chức: Chính dự án hoặc một bên thứ ba đứng ra tổ chức. Đây là đơn vị chịu trách nhiệm thiết kế và công bố chương trình, đồng thời trao thưởng.
Hacker mũ trắng: Là những người tham gia săn bug, họ có thể đến từ nhiều nền tảng khác nhau từ chuyên gia an ninh mạng, quản lý kỹ thuật (SRE), tư vấn bảo mật,…
Bug Bounty là cầu nối giữa hai đối tượng, một dự án (cần quản lý bảo mật) và hacker mũ trắng (tìm kiếm thu nhập với động cơ tốt). Một số nền tảng Bug Bounty Web3 đáng chú ý bao gồm Immunefi (thành lập năm 2020) và HackenProof (thành lập năm 2017).
Sau nhiều thăng trầm của thị trường tiền điện tử trong những năm 2021-2022, giá trị của chương trình “săn lỗi” dần được công nhận. Dự án xem xét đầu tư "số tiền lớn", và quỹ đầu tư đồng ý bơm vốn cho nhà tài trợ.
Vào năm 2022, Immunefi, nền tảng tiền thưởng lỗi tiền điện tử lớn nhất, đã thưởng tổng cộng 52 triệu USDUSD, phần thưởng lớn nhất trong lịch sử Web3 Bug Bounty.
Top các mức thưởng Bug Bounty lớn nhất từng được Immunefi trả
Đơn vị này cũng báo cáo rằng hầu hết các lỗ hổng được phát hiện đều nằm ở lớp hợp đồng thông minh, tiếp theo là lớp trang web và ứng dụng, trong khi các giao thức blockchain có rất ít lỗ hổng. Điều đáng chú ý là mức độ nghiêm trọng của các lỗi cũng được chia đều và không có mức độ nào chiếm đa số, cho thấy các lỗi do hacker mũ trắng báo cáo không bị che giấu.
Phân loại nguồn gốc lỗ hổng được báo cáo lên Immunefi
Ngoài ra, hàng trăm chương trình đã được tổ chức trên DeFi với tiền thưởng lên đến 8 chữ số. Khoảng 150 triệu USD có sẵn dành riêng cho việc trao thưởng. Theo ước tính của Immunefi về chi phí rủi ro mà lỗ hổng tìm thấy có thể gây ra, các chương trình Bug Bounty đã cứu được hơn 40 tỷ USD cho các dự án DeFi và ngành tiền mã hoá, nổi bật là các sự cố liên quan đến Polygon và Solana.