Axie Infinity rozpoczyna kampanię bug bounty o wartości 1 mln USD

Aleksander Leonard Larsen, współzałożyciel i dyrektor operacyjny studia programistycznego Sky Mavis, podzielił się szczegółami dotyczącymi kampanii bug bounty, której celem jest zwiększenie bezpieczeństwa produktów Axie Infinity i Ronin Network.

Bug Bounty od Axie Infinity

Zespół Axie Infinity uruchamia siedmiocyfrowe bug bounty, by przetestować swoją grę, portfel, rozszerzenia i wiele więcej segmentów pod względem luk bezpieczeństwa.

Larsen za pomocą Twittera zaprosił do wzięcia udziału w kampanii wszystkich hakerów typu white-hat z segmentu blockchain.

Calling all whitehats in the blockchain space.

The Sky Mavis Bug Bounty program is here.

Help us keep @Ronin_Network secure while earning a bountyhttps://t.co/vHqUJkE1OX#bugbounty #bounty

— Psycheout – Aleksander | Axie Infinity (@Psycheout86) April 12, 2022

Założono również listę produktów, które zostaną poddane szczegółowym testom. Zawiera ona główny produkt i rynek Sky Mavis, rozszerzenia do przeglądarek, aplikacje na komputery stacjonarne i urządzenia mobilne oraz natywny portfel.

Wśród priorytetowych luk znajdują się “błędy techniczne, błędy EVM, ataki ekonomiczne, błędy skalowalności oraz liczne projekty złośliwej interwencji”.

Nagrody za znalezienie błędu w aplikacji lub na stronie internetowej wahają się od 50 do 15 000 dolarów. Z kolei za ujawnienie luk on-chain można otrzymać maksymalne bounty wynoszące nawet 1 000 000 dolarów wypłacane w tokenach AXS.

Zespół Sky Mavis podkreśla, że uczestnicy kampanii powinni powstrzymać się od spamowania, spoofingu, phishingu, socjotechniki, ataków DDoS oraz prób fizycznego ataku na własność lub centra danych Sky Mavis.

Hack Ronin

Jak informowaliśmy wcześniej, w dniu 29 marca 2022 r. włamano się do sidechaina Ronin Network należącego do Axie Infinity. Atakujący „wykorzystał zhakowane klucze prywatne w celu sfałszowania wypłat” w dwóch transakcjach, które można zobaczyć na Etherscan. Straty przekroczyły wówczas równowartość 625 000 000 dolarów.

Napastnicy zaczęli już przenosić fundusze do miksera kryptowalut Tornado Cash. W ten sposób chcą zapobiec możliwości śledzenia łupu.

Wspomniane Tornado Cash stało się ulubioną bronią hakerów z rynku kryptowalut. Zapewnia bowiem anonimowe transakcje dla tokenów z sieci Ethereum poprzez zerwanie połączenia w łańcuchu między adresem źródłowym a docelowym. Jest to więc idealne rozwiązanie dla kogoś, kto chce przetransferować skradzione aktywa.