Компания Hyperbridge запустила на платформе HackenProof публичную программу вознаграждения за обнаружение уязвимостей, предлагая за это до $50000. Программа приглашает независимых исследователей в области безопасности изучить код протокола и представить отчеты через платформу безопасности.
На странице HackenProof указано, что программа Hyperbridge Protocol запущена и активна. Hyperbridge описывается как система, позволяющая блокчейнам обмениваться данными и передавать активы посредством консенсуса и доказательств состояния, в отличие от более старых моделей мостов, которые полагались на комитеты по мультиподписи.
Вознаграждения покрывают ключевые риски моста
Компания Hyperbridge сообщила, что вознаграждение начинается от $200 за сообщения о незначительных уязвимостях и увеличивается до $2000–$5000 за обнаружения уязвимостей средней степени серьезности. За серьезные ошибки можно получить от $5000 до $15000, а за критические уязвимости — до $50000.
Область применения охватывает весь репозиторий протокола Hyperbridge. Команда заявила, что исследователи могут сообщать о логических ошибках, проблемах контроля доступа, реентрантности, подделке сообщений между сетями, манипулировании состоянием и любых недостатках, которые могут повлиять на целостность сообщений или средств.
Апрельский эксплойт спровоцировал проверку безопасности
Эта программа является следствием апрельской атаки, в ходе которой злоумышленник создал около 1 миллиарда поддельных токенов, эквивалентных DOT, в сети Ethereum через кроссчейн-шлюз Hyperbridge. Злоумышленник получил административный контроль через поддельное кроссчейн-сообщение и вывел около $237000.
В том же отчете говорилось, что поддельные данные повлияли на работу мостового представления DOT, в то время как собственная сеть Polkadot технически осталась нетронутой. В нем также указывалось на связь этого случая с более широкими рисками, связанными с мостовыми представлениями, где поддельные сообщения и слабые проверки подлинности остаются распространенными путями атак.
Кроме того, Hyperbridge заявила, что тестирование должно проводиться только на локальных форках. Атаки на реальную инфраструктуру, социальная инженерия и эксплойты сторонних разработчиков выходят за рамки программы.
На странице HackenProof также требуется предоставление доказательств концепции и перечислены правила, запрещающие сбои в работе сервиса, доступ к персональным данным, спам, тестирование DDoS-атак и отчеты, основанные только на теории. Там говорится, что исследователи должны оставаться в рамках заданной области и избегать публичного разглашения информации без одобрения.
Читайте также:
