Ми плануємо об’єднати хакерів зі всього світу для допомоги Україні. Ось як ми працюємо з bug bounty

Наша компанія Hacken спеціалізується на проведення аудитів безпеки компаній, які працюють у сфері Web 3.0 – це криптобіржі, блокчейн, криптогаманці, тощо. Зараз в нас близько 100 співробітників, 800 клієнтів та понад 100 партнерів. Ми співпрацюємо з Avalanche, Solana, OKX, FTX, Polkastarter.

Дмитро Матвіїв

Що саме ми робимо? Аудити смарт-контрактів, тести на проникнення та bug bounty програми, якими в нас займається платформа HackenProof – проєкт екосистеми Hacken. Я відповідаю за розвиток та управління платформою: розробляю та вдосконалюю дорожню карту, контролюю метрики та взаємодію з командою розробників.

Дмитро Матвіїв

З початку війни на платформі HackenProof було запущено дві ініціативи: із пошуку вразливостей в цифрових інфраструктурах росії і України.

Отримані дані ми передаємо координаторам кіберармії України.

Зараз моя ціль: HackenProof – №1 баг-баунті платформа у web 3.0. В своїй колонці я розкажу про те, нащо взагалі потрібен кріптоаудіт, та надам поради, як стати Web 3.0-розробником.

Нащо потрібен кріптоаудіт

Мета криптоаудиту – пошук вразливостей у коді, які залишилися непоміченими внутрішніми спеціалістами проєкту під час розробки. Технологія блокчейн, незважаючи на свою інноваційність, не є повністю захищеною від ризиків. Небезпека може бути пов’язана із маніпуляціями зі сторони внутрішніх співробітників компаній, а також з інтеграцією блокчейну з іншими сервісами – у випадку їх зламу можливий «ефект доміно».

Чим відрізняється криптоаудіт від захисту від DDoS-атак? Мета захисту від DDoS-атак – не допускати порушення функціонування проєкту через перенавантаження його трафіком. Оскільки багато DDoS-атак маскують більш складні методи злому проєкту, проведення криптоаудиту також захищає проєкт від можливих негативних наслідків цих атак.

Що таке Web 3.0 та в чому його переваги

Web3 (Web 3.0) – новий етап у розвитку глобальної мережі Інтернет. Головною відмінностю Web3 є децентралізація і те, що користувачі можуть контролювати  інформацію, яку вони залишають в Інтернеті. Це дозволить завершити монополію технологічних гігантів у питанні монетизації даних користувачів.

Дмитро Матвіїв

Також відмінністю Web3 від традиційного Інтернету є прийняття віртуальних активів та їх проникнення в економіку – захист інформації тут забезпечується блокчейн-технологіями.

Наприклад, вже сьогодни Уряд України та волонтерські організації приймають фінансову підтримку для вимушених переселенців та армії в криптовалютах.

Хто ініціює bug bounty програми для Web3 та як ми з ними працюємо

Bug bounty програми зазвичай Ініціює компанія, яка турбується про захист свого програмного продукту та про рейтинг безпеки. Вона звертається до нас, а далі ми діємо таким чином:

• верифікуємо компанію та допомагаємо їй вказати цілі для хакерів, правила, за якими хакери можуть брати участь у програмі, а також розмір винагороди за знайдену вразливість;
• підписуємо договір та створюємо для компанії акаунт на нашій платформі;
• компанія розміщує на своєму балансі частину коштів, які використовуються для оперативної виплати хакерам за підходящі дані;
• хакери розпочинають пошук вразливостей та доповідають про них через нашу платформу. До речі, програма може бути і приватною, тоі хакери долучаються до неї лише за запрошенням;
• коли надходить новий репорт у програму,  наша команда перевіряє його та визначає рівень критичності;
• якщо репорт валідний, хакер отримує винагороду на свій гаманець.

Увесь цей процес зазвичай триває рік. Хочу також зазначити, що термін «хакер» охоплює різних спеціалістів – програмістів, інженерів та тестувальників. Розмір винагороди за валідний репорт може складати від 50$ до декількох мільйонів. Перед тим, як приступити до пошуку вразливостей, хакер може побачити цю інформацію в профайлі програми.

Наразі моя команда працює над розробкою національної bug bounty програми для України на базі HackenProof. Її ідеєю є об’єднання та координація професійних етичних хакерів з усього світу, які прагнуть допомогти Україні.

Поради розробникам, які цікавляться Web 3

• Звернути увагу на криптографію, дізнатися про це більше. Криптографія – це основа Web3
• Розібратися з термінологією  Web3 – дізнатися все про протоколи, гаманці, токени, NFT, смарт-контракти тощо
• Визначитись з мовою програмування та здобути практичні навички. Web3  продукти теж мають свої рівні, і в залежності від них, використовуються та чи інша мова програмування – C++, Rust, JS

Також наша компанія Hacken планує провести вебінар «Як стати Web3-розробником чи аудитором (перевіряти чужий код)?». Записатись можна тут.