Axie Infinity 1 Milyon Dolara Kadar Ödül Dağıtıyor: Ödül Programı Duyuruldu

Kısa bir süre önce siber saldırıya uğrayan ve çalınan 625 milyon doları aşkın varlıkla DeFi tarihindeki en büyük hack’iyle anılan Ronin Network’ün ve Axie Infinity’nin geliştiricisi Sky Mavis, beyaz şapkalı hacker’lara çağrıda bulundu.

Sky Mavis tarafından yapılan açıklamada blok zincirinin, akıllı sözleşmelerinin ve uygulamalarının güvenliğini güçlendirmeye yardımcı olmak için beyaz bilgisayar korsanlar göreve davet edildi. Bu kapsamda Axie Infinity’nin geliştirici şirket olan Sky Mavis, platformundaki büyük güvenlik açıklarını tespit edebilen herkese 1 milyon dolara kadar ödül verecek.

Bu hamle, şirketin siber saldırıya uğraması sonucunda Ronin köprüsünden 600 milyon doların üzerinde kripto para çalınmasının ardından geldi. Bu saldırı aynı zamanda tarihin en büyük DeFi hack’i olarak kayıtlara geçmişti.

Şirketin web sitesinde yer alan bilgilere göre, Sky Mavis Bug Bounty Programı, Bugcrowd Vulnerability Rating Taxonomy‘den referans alacak. Sistem, Sky Mavis’in topluluğunun güvenlik sorunlarıyla ilgili hataları önceliklendirmesine ve derecelendirmesine yardımcı olacak. Tespit edilen güvenlik açıkları ne kadar şiddetli ve yıkıcı olursa, ödül o derece büyük olacak.

Potansiyel güvenlik açıkları iki kategoriye ayrılıyor: “Akıllı Sözleşmeler ve Blok Zinciri” ve “Web ve Uygulamalar”. İncelemeye uygun akıllı sözleşmelerin ve web uygulamalarının bir listesi Sky Mavis tarafından sağlanıyor.

Web ve uygulamadaki güvenlik açıkları nispeten daha az ödüle sahip, zira bu kategoride tespit edilen “kritik” açıklar için maksimum 15 bin dolarlık ödül verileceği ifade edildi. Buna karşılık, blockchain zayıflıkları gibi “düşük” riskli bulgular için 1.000 dolar ödül verilirken “ölümcül” derecedeki güvenlik açıkları için ise 1.000.000 dolara kadar değişen beş önem seviyesinde ödül verilecek. Şirket ayrıca bu ödüllerin ödemesi Axie Infinity Shards (AXS) ile yapacak.

Bununla birlikte, program katı ve özel kurallarla birlikte geliyor. Örneğin, güvenlik açıkları tamamen teorik kalmak yerine kavramın kanıtını içermesi gerekiyor. Çalıştırmak için bir kök/jailbreak gerektirmemeli ve somut bir güvenlik etkisine sahip olmalı. Otomatik araçlardan ve taramalardan gelen raporlar da ödül programı için uygun değil.

Bunun yerine program, kullanıcı kimlik doğrulama hatalarını içeren yeniden giriş ve mantık hataları gibi sorunlara öncelik veriyor. Tıkanıklık/ölçeklenebilirlik, fikir birliği hataları ve blok zaman damgası manipülasyonu ile ilgili sorunlar da ödül programı kapsamındaki sorunlar.

Sky Mavis CEO’su Alexsander Larsen Pazartesi günü yaptığı açıklamada şunları kaydetti:

Blockchain alanındaki tüm beyaz şapkaları çağırıyor. Sky Mavis Bug Bounty programı burada. Bir ödül kazanırken Ronin Network’ü güvende tutmamıza yardım edin.

Beyaz şapkalı hackerlar, ağlarını güçlendirmek için şirketleri güvenlik açıkları konusunda bilgilendirmeye yardımcı olmak için yani iyi bir amaç uğruna bilgisayar korsanlığı becerilerini kullanan kişiler. Ocak ayında, beyaz şapkalı bir bilgisayar korsanı, önceki gün 2 milyon dolarlık bir saldırıya uğrayan çok zincirli protokole yaklaşık 813.000 dolar değerinde ETH’yi iade etmişti.

Ronin Köprüsü Hack’i

Geride bıraktığımız Mart ayının sonlarında, Axie Infinity’nin üzerinde çalıştığı Ethereum yan zinciri olan Ronin blockchain köprüsünden yaklaşık 625 milyon dolarlık ETH ve USDC çalınmıştı. Bilgisayar korsanı, Ronin’in doğrulayıcı node’larının çoğunluğunun kontrolünü ele geçirerek bu saldırıyı gerçekleştirmişti.

625 milyon dolarlık dev hack, gerçekleştikten sadece 6 gün sonra fark edildi. O zamandan beri Sky Mavis, çalınan fonları geri almak için çalışıyor. Öte yandan şirket, siber saldırıdan etkilenen Axie oyuncularına geri ödeme yapma sözü verdi. Bununla birlikte, bilgisayar korsanı, bir karıştırma hizmeti kullanarak küçük gruplar halinde fonları aklamaya çalışıyor.