Whitehat-hackers richten zich op Ethereum, Solana en Avalanche: Immunefi

Crypto whitehat-hackers zijn vooral geïnteresseerd in de Ethereum-blockchain.

Dat is volgens een uitsplitsing van het ethische hacker-ecosysteem samengesteld door web3-gericht bug bounty-platform Immunefi in zijn 2023 verslag, gericht op het in kaart brengen van de interesses, uitdagingen en kansen van whitehats in web3. Maar geld is niet alles, en de meerderheid wordt gemotiveerd door het oplossen van de technische uitdagingen van gedecentraliseerde applicaties.

Blockchain-voorkeuren

Ethereum was de overweldigende voorkeur onder whitehats, waarbij 92% van de respondenten zich aangetrokken voelde tot de blockchain. Solana eindigde op de tweede plaats met 31%, met Avalanche (20.4%), Cosmos (13.3%) en Tezos (8%) in de top vijf. Polygon, Arbitrum, Optimism, Near, Polkadot, BNB Chain, Fantom en zkSync stonden ook op hun radar.

De interesse in Ethereum daalde echter van 96.4% in het vorige onderzoek van Immunefi. Solana was getuige van de grootste daling, een daling van 51.6%, terwijl Tezos de grootste piek zag, een stijging van 122.2%.

Aanvalsvectoren

Herintredingsaanvallen (die kwaadwillende partijen in staat stellen om herhaaldelijk geld uit slimme contracten te halen door gebruik te maken van de code-uitvoeringsopdracht) werden genoemd als de meest voorkomende kwetsbaarheid die whitehats ontdekten bij het beoordelen van code (43.2%), gevolgd door toegangscontrole (18.2%), invoervalidatie (9.1 %), orakelmanipulatie (6.8%) en logische fouten (6.8%).

De meeste whitehats (76.1%) zagen de aanvalsoppervlakken in crypto groeien. De meerderheid (88.5%) was het er echter ook mee eens dat de veiligheidsmaatregelen van projecten verbeterden.

Bug bounty-beloningen

De grootte van de bounty werd genoemd als de belangrijkste factor (66.4%) voor whitehats bij het selecteren van bountyprogramma's, hoewel vertrouwen, reikwijdte en efficiënte communicatie ook zeer gewaardeerd werden. 

Na uitbetaling $ 52 miljoen in beloningen voor ethische hackers voor het vinden van kwetsbaarheden in web3-protocollen vorig jaar, is Immunefi de crypto bug bounty-beloningen gaan domineren. Daarentegen heeft het op één na populairste platform, HackenProof, in totaal betaald $ 4.8 miljoen naar withoeden.

Immunefi beweert meer te hebben betaald dan $ 65 miljoen in totale premies sinds 2020, waarmee $ 25 miljard aan gebruikersfondsen is veiliggesteld via protocollen zoals Chainlink, MakerDAO, The Graph, Polygon en Synthetix. De hoogste bounty die door Immunefi werd gefaciliteerd, was een $ 10 miljoen prijs voor een kwetsbaarheid ontdekt in Wormhole, een generiek cross-chain messaging protocol. 

Vorige maand, Immunefi gerapporteerd dat betalingen met crypto-ransomware sinds 69.3 meer dan $ 10 miljoen opleverden uit de top 2020 van aanvallen. In januari werd een Immunefi-beveiligingsonderzoeker Bekroond een premie van $ 1 miljoen na het redden van een potentiële diefstal van $ 200 miljoen van drie Polkadot parachains.

Demografie en levensstijl

De meeste whitehats (54%) vallen in de steeds dominantere categorie 20-29-jarigen, tegen 45.7% in de voorgaande periode, met 21.2% van de respondenten tussen 30 en 39 en 12.4% tussen 40 en 49. Ondanks een toenemend aantal vrouwen sluiten zich aan bij de gemeenschap van ethische hackers, een stijging van 45.8% tot 3.5%, mannelijke whitehats vormen nog steeds het grootste aandeel (95.5%).

De meerderheid van de respondenten werkt al ongeveer vier jaar in crypto, en de meesten (55.8%) overwogen om hun primaire baan te hacken, hoewel dat minder is dan 60.2% in de voorgaande periode. Naast interesse in het oplossen van technische uitdagingen (77%) en het behalen van financiële beloningen (69%), waren carrièremogelijkheden (62%) en gemeenschap (38%) ook sterke motivatoren.

Uitdagingen en kansen

Gevraagd naar de grootste uitdagingen die whitehats hebben ondervonden op het gebied van web3-beveiliging, benadrukten de meeste respondenten de steile leercurve die vereist is, ongeacht eerdere achtergrond of ervaring, en de behoefte aan meer beschikbare middelen. De snel evoluerende aard van de technologie was een ander pijnpunt, samen met de complexiteit van Solidity-codering, protocollen en mogelijke aanvalsvectoren.

Wat de kansen betreft, waren de respondenten enthousiast over de uitdaging van het leren van en werken aan nieuwe technologie, aangezien web3 een goedbetaalde branche is met carrièrepotentieel op lange termijn in functies met een grote impact.