Open in app

Sign in

Write

Sign in

El Programa de Recompensas por Fallas de 2.5 millones de The Graph en asociación con Immunefi

Lorena Fabris
7 min readAug 5, 2021

The Graph Foundation, 4 de agosto de 2021. Traducción por Lorena Fabris

The Graph Foundation ofrece una recompensa récord de $ 2.5 millones por bugs (errores/fallas) para incentivar a los desarrolladores y hackers (piratas informáticos) éticos a reconocer vulnerabilidades y deficiencias en el protocolo. En la actualidad, este es el programa activo de recompensas de bugs más grande del mundo. Para este esfuerzo monumental, The Graph colabora con Immunefi, que cuenta con un amplio conocimientos sobre pruebas y protección de protocolos Web3.

En este artículo, proporcionamos los detalles de la recompensa, destacando las variedades de riesgos y vulnerabilidades que el programa está tratando de abordar. Además de elaborar las modalidades del programa, discutimos sus recompensas y alcance general. Pero antes de entrar en todo eso, introduzcamos The Graph e Immunefi brevemente, especialmente para los no iniciados.

¿Qué es Immunefi?

Immunefi es una de las plataformas de recompensas de bugs más populares en Web3, donde los hackers de sombrero blanco y los analistas de seguridad revisan y rectifican las vulnerabilidades de un proyecto. Al hacerlo, estos hackers éticos son recompensados ​​generosamente por detectar amenazas y ayudar a proteger los proyectos participantes. Immunefi es un pionero en innovadoras recompensas de bugs relacionadas con blockchain y tiene un equipo envidiable de expertos en seguridad.

A lo largo de los años, Immunefi ha ahorrado más de mil millones de dólares en fondos de los usuarios para que no sean robados o mal utilizados. En el proceso, los hackers éticos han ganado más de $ 3 millones en recompensas. En la actualidad, la plataforma tiene recompensas por bugs por valor de $ 26,251,214 bloqueadas en varios proyectos.

Como plataforma, Immunefi tiene un inmenso alcance tanto para los hackers éticos como para los propietarios de proyectos. Los hackers pueden seleccionar programas de recompensas que coincidan con su habilidad, revisar el código, enviar los bugs y cobrar. Al mismo tiempo, los proyectos pueden mejorar su seguridad con la ayuda de expertos de Immunefi. Debido a estos factores, entre otros, varios nombres líderes en la industria confían en la plataforma. Binance, Chainlink, SushiSwap, PancakeSwap, Compound y Synthetix, por ejemplo, han trabajado con Immunefi.

¿Por qué un Programa de Recompensas por Bug?

Uno podría preguntarse, ¿por qué necesitamos un programa de recompensas por bugs en primer lugar? ¿No es suficiente y más factible tener auditorías de terceros independientes? Realmente no. Las recompensas de bugs hacen que los protocolos sean más robustos que una verificación de código común y corriente porque las recompensas incentivan a comunidades enteras de revisores de código, en lugar de auditorías típicas que involucran a una sola firma de auditoría.

A pesar del uso generalizado de auditorías, los hackeos a DeFi han ascendido a más de $ 285 millones desde 2019. A la luz de esto, Mitchell Amador, fundador y director ejecutivo de ImmuneFi, ha dicho: “El año pasado, más de $ 200 millones fueron robados por hackers a través de ataques a DeFi y hackeos que de hecho cuestionan la eficacia de los métodos de seguridad tradicionales “.

Continuó añadiendo: “En Immunefi nos esforzamos por proteger los proyectos contra hackeos de contratos inteligentes ayudando a crear, ejecutar y promover programas de recompensas por bugs de mejores prácticas. Estamos entusiasmados con esta histórica colaboración con The Graph “.

Descripción General del Programa de Recompensas por Fallas de $ 2.5 Millones

Habiendo discutido los conceptos básicos, ahora profundicemos en los aspectos principales del programa de recompensas. The Graph Foundation está financiando este programa para garantizar una mejor seguridad y confiabilidad para la comunidad global de la red.

El programa se pone en marcha hoy, con una recompensa máxima de $ 2,500,000 a pagar en tokens GRT. La agenda principal es mitigar los riesgos de perder fondos de los usuarios, exponer detalles privados y errores de ataque de Sybil. También está dirigido a prevenir resultados de consultas incorrectos por parte de indexadores debido a anomalías en el software del Indexador y otras vulnerabilidades asociadas.

Recompensas del Programa

Los hackers de sombrero blanco son recompensados ​​de acuerdo con la gravedad del bug detectado y la intensidad del daño potencial. Esto se basa en una escala de 5 etapas descrita en el Sistema de Clasificación de Gravedad de Vulnerabilidad de Immunefi. A continuación se muestra la escala y las recompensas asociadas:

  • Crítico: congelar las tenencias de contratos o fondos vacíos como ataques de préstamos flash, reentrada (hasta $ 2,500,000)
  • Alto: suspensión temporal para transferir fondos de las billeteras de los titulares de tokens ($ 200,000)
  • Medio: Gran consumo de gas y denegación de servicio ($ 20,000)
  • Bajo: el contrato no devuelve los retornos prometidos ($ 5,000)

Las recompensas por violaciones de seguridad críticas tienen un límite del 10% del total de daños económicos que pueden resultar de las vulnerabilidades de codificación.

¿Cómo registrarse?

El proceso de registro es sencillo. Para ser elegible para las recompensas, los cazarrecompensas de bugs primero deberán registrarse a través de la plataforma KYC de The Graph Foundation. Luego, pueden enviar sus informes de bugs con los registros y datos necesarios a Immunefi para recibir una recompensa. Los envíos deben incluir los documentos y la codificación para reproducir las vulnerabilidades, así como sugerencias para corregir los bugs.

Obtén más información sobre cómo participar en la recompensa por bugs en bugs.immunefi.com.

¿Qué Escenarios están Dentro del Alcance del Programa de Recompensas?

  • Pérdida de fondos debido a bugs en contratos inteligentes, pasarela o software del Indexador
  • Tarifas de consulta defectuosas y pagos de recompensas de Indexación
  • Ataque económico donde todas las partes interesadas pierden fondos
  • Hacerse pasar por participantes de la red y las consiguientes actividades maliciosas
  • Datos privados robados debido a bugs en el contrato inteligente, el software del Indexador o la ejecución remota de código
  • Funcionalidad ineficaz del Indexador
  • Carga de red anormal sin suficientes tarifas de GRT
  • Datos de consulta inexactos
  • Ataque doloroso
  • Ataques de Sybil
  • Sincronización no determinista de datos de subgrafo (solo para Graph — node)

¿Qué Escenarios no Están Dentro del Alcance?

No hay recompensas para las siguientes situaciones:

  • Ataques o bugs explotados por el hacker
  • Bugs ya identificados en auditorías de terceros
  • Ataques de avance y sandwich
  • Escasez de liquidez
  • Ataques de gobernanza (p. Ej., Ataque del 51%)
  • Datos incorrectos por oráculos de terceros
  • Ataques debidos a ingeniería social o claves / credenciales filtradas
  • Críticas basadas en las mejores prácticas de seguridad generalmente conocidas

Lo que los Hackers Éticos No Pueden Hacer

  • No explotar los bugs ni aprovecharse de ellos
  • No violar la privacidad de ninguna de las partes interesadas de The Graph.
  • No atacar ni defraudar a The Graph Foundation ni a ningún otro participante del ecosistema.

¿Cómo Informar Bugs?

Solicitamos a los hackers que envíen sus informes de errores de manera responsable para evitar cualquier ataque a The Graph. Por lo tanto, deben darle al equipo de seguridad de The Graph el tiempo suficiente para solucionar los problemas antes de hacer públicas las vulnerabilidades.

Los participantes deben tener en cuenta que solo la primera persona que informe el bug tendrá derecho a la recompensa correspondiente. Deben enviar las vulnerabilidades con todos los enlaces, documentos y códigos relevantes. Solo se aceptará un formulario para enviar por cualquier vulnerabilidad determinada. Sin embargo, los cazarrecompensas son libres de enviar múltiples formularios para múltiples vulnerabilidades.

Cualquier intento de divulgar públicamente la vulnerabilidad antes de resolverla dará lugar a la cancelación de la recompensa. The Graph Foundation e Immunefi se reservan el derecho de descalificar a cualquier persona que no cumpla con las reglas y regulaciones del programa de recompensas. Finalmente, bajo ninguna circunstancia The Graph Foundation negociará pagos bajo ninguna amenaza o coerción.

Obtén más información sobre cómo participar en la recompensa por bugs en bugs.immunefi.com.

Lo que Nos Depara el Futuro

Creemos que un pequeño paso para reforzar la seguridad criptográfica marca un gran paso adelante para todo el dominio. La recompensa por bugs de $ 2.5 millones es histórica; es el primero, pero no tiene por qué ser el último.

A medida que la comunidad en torno a las blockchains y las criptomonedas se vuelve más madura, aumenta la demanda de una mejor seguridad y confiabilidad. A largo plazo, esto sentaría una base sólida para Web3, liberando a las personas en el proceso.

The Graph, por ejemplo, no se abstendrá de incentivar a los talentos prometedores para que saquen lo mejor de sí mismos. Solo entonces se podrá realizar la visión más amplia del dominio. En el viaje hacia el futuro, la innovación es fundamental, al igual que la seguridad. Sin embargo, los dos pilares están relacionados, una comprensión que subyace al programa de recompensas. Participa para asegurar el futuro de la web y gana interesantes recompensas en el proceso. Sin embargo, recuerda que el tiempo corre.

Sobre The Graph

The Graph es la capa de indexación y consulta de la web descentralizada (Web3). Los desarrolladores crean y publican APIs abiertas, denominadas subgrafos, que las aplicaciones pueden consultar mediante GraphQL. Actualmente, The Graph admite la indexación de datos de 22 redes diferentes, incluidas Ethereum, Arbitrium, Avalanche, Celo, Fantom, Moonbeam, IPFS y PoAa, y pronto habrá más redes. Hasta la fecha, se han implementado más de 18.000 subgrafos en el servicio alojado y ahora los subgrafos se pueden implementar directamente en la red!. ~ 20.000 desarrolladores han creado subgrafos para aplicaciones, como Uniswap, Synthetix, Aragon, Gnosis, Balancer, Livepeer, DAOstack, AAVE, Decentraland y muchas otras.

Si eres un desarrollador que crea una aplicación o una aplicación Web3, puedes usar subgrafos para indexar y consultar datos de blockchains. The Graph permite que las aplicaciones presenten datos de manera eficiente y eficaz en una interfaz de usuario y permite que otros desarrolladores también utilicen su subgrafo!. Puedes implementar un subgrafo en la red usando el recientemente lanzado Subgraph Studio o consultar subgrafos existentes que se encuentran en Graph Explorer. A The Graph le encantaría darles la bienvenida a ser Indexadores, Curadores y / o Delegadores en la red principal de The Graph. ¡Únete a la comunidad de The Graph presentándote en The Graph Discord para discusiones técnicas, únete al chat de Telegram de The Graph o sigue a The Graph en Twitter! Los desarrolladores de The Graph y los miembros de la comunidad siempre están ansiosos por chatear contigo, y el ecosistema de The Graph tiene una comunidad cada vez mayor de desarrolladores que se apoyan entre sí.

The Graph Foundation supervisa The Graph Network. The Graph Foundation está supervisada por el Consejo Técnico. Edge & Node, StreamingFast y Figment son tres de las muchas organizaciones dentro del ecosistema de The Graph.

The Graph
The Graph Protocol
The Graph Network
Immunefi

--

--

Lorena Fabris
Lorena Fabris

Written by Lorena Fabris

121 Followers
32 Following

Lawyer, Political Scientist, Blockchain Enthusiast

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams