Мы планируем объединить хакеров со всего мира для помощи Украине. Вот как мы работаем bug bounty

Наша компания Hacken специализируется на проведении аудитов безопасности компаний, работающих в сфере Web 3.0 – это криптобиржи, криптокошельки и т.д. Сейчас у нас около 100 сотрудников, 800 клиентов и более 100 партнеров. Мы сотрудничаем с Avalanche , Solana , OKX , FTX , Polkastarter.

Что конкретно мы делаем? Аудиты смарт-контрактов, тесты на проникновение и bug bounty приложения, которыми у нас занимается платформа HackenProof – проект экосистемы Hacken. Я отвечаю за развитие и управление платформой: разрабатываю и усовершенствую дорожную карту, контролирую метрики и взаимодействую с командой разработчиков.

С начала войны на платформе HackenProof были запущены две инициативы: по поиску уязвимостей в цифровых инфраструктурах России и Украины.

Полученные данные мы передаем координаторам киберармии Украины.

Сейчас моя цель: HackenProof – номер один bug bounty платформа в Web 3.0. В своей колонке я расскажу о том, зачем вообще нужен криптоаудит, и дам советы, как стать Web 3.0-разработчиком.

Зачем нужен криптоаудит

Цель криптоаудита – поиск уязвимостей в коде, оставшихся незамеченными внутренними специалистами проекта при разработке. Технология блокчейн, несмотря на свою инновационность, не полностью защищена от рисков. Опасность может быть связана с манипуляциями со стороны внутренних сотрудников компаний, а также с интеграцией блокчейна с другими сервисами – в случае их излома возможен «эффект домино».

Чем отличается криптоаудит от защиты от DDoS-атак? Цель защиты от DDoS-атак – не допускать нарушения функционирования проекта из-за перегрузки его трафиком. Поскольку многие DDoS-атаки маскируют более сложные методы взлома проекта, проведение криптоаудита также защищает проект от возможных негативных последствий этих атак.

Что такое Web 3.0 и в чем его преимущества

Web3 (Web 3.0) – новый этап развития глобальной сети Интернет. Главным отличием Web3 является децентрализация и то, что пользователи могут контролировать информацию, которую они оставляют в Интернете. Это позволит завершить монополию технологических гигантов по вопросу монетизации данных пользователей.

Также отличием Web3 от традиционного Интернета является принятие виртуальных активов и их проникновение в экономику – защита информации здесь обеспечивается блокчейн-технологиями.

К примеру, уже сегодня Правительство Украины и волонтерские организации принимают финансовую поддержку для вынужденных переселенцев и армии в криптовалютах.

Кто инициирует bug bounty программы для Web3 и как мы с ними работаем

Bug bounty программы обычно инициирует компания, которая заботится о защите своего программного продукта и рейтинге безопасности. Она обращается к нам, а дальше мы действуем следующим образом:

• верифицируем компанию и помогаем ей указать цели для хакеров, правила, по которым хакеры могут участвовать в программе, а также размер вознаграждения за найденную уязвимость;
• подписываем договор и создаем для компании аккаунт на нашей платформе;
• компания размещает на своем балансе часть средств, используемых для оперативной выплаты хакерам за подходящие данные;
• хакеры приступают к поиску уязвимостей и докладывают о них через нашу платформу. Кстати, программа может быть и частной, то и хакеры приобщаются к ней только по приглашению;
• когда приходит новый репорт в программу, наша команда проверяет его и определяет уровень критичности;
• если репорт валидный, хакер получает вознаграждение за свой кошелек.

Весь этот процесс обычно длится год. Хочу также отметить, что термин «хакер» подразумевает разных специалистов – программистов, инженеров и тестировщиков. Размер вознаграждения за валидный репорт может составлять от 50$ до нескольких миллионов. Перед тем, как приступить к поиску уязвимостей, хакер может увидеть эту информацию в профайле программы.

Моя команда работает над разработкой национальной bug bounty программы для Украины на базе HackenProof . Ее идеей является объединение и координация профессиональных этических хакеров со всего мира, стремящихся помочь Украине.

Советы разработчикам, интересующимся Web 3

• Обратить внимание на криптографию, узнать это больше. Криптография – это основа Web3
• Разобраться с терминологией Web3 – узнать все о протоколах, кошельках, токенах, NFT, смарт-контрактах и ​​т.д.
• Определиться с языком программирования и получить практические навыки. Web3 продукты тоже имеют свои уровни, и в зависимости от них используются тот или иной язык программирования – C++, Rust, JS

Также компания Hacken планирует провести вебинар «Как стать Web3-разработчиком или аудитором (проверять чужой код)?». Записаться можно здесь .