OpenSea paga una ricompensa a sei cifre a due hacker “buoni” che hanno scoperto difetti di sicurezza all’interno della piattaforma.
Due hacker “buoni” hanno scoperto vulnerabilità di sicurezza critiche nel mercato di OpenSea. La piattaforma li ha ricompensati con una taglia da 100.000 euro ciascuno.
Uno degli hacker afferma che dei malintenzionati avrebbero potuto utilizzare il bug per rubare risorse. Vediamo cosa bisogna stare attenti.
Opensea ricompensa due hacker “buoni” per il loro servizio: attenzione a questo
Corben Leo, chief marketing officer di Zellic, ha segnalato a HackerOne un problema che aveva scoperto.
Il difetto è stato risolto entro tre ore. Poiché si trattava di una vulnerabilità critica, gli è stata assegnata una somma a sei cifre come ringraziamento. Ha twittato:
“Non sto cercando di vantarmi, non condivido mai i profitti. Ma sto letteralmente tremando in questo momento e volevo condividere il mio stupore. Sono super fortunato ad averlo trovato“.
Un hacker anonimo chiamato Nix ha avuto un’esperienza simile alcuni giorni prima. Ha affermato di essere stato “impressionato dall’impegno di OpenSea per la sicurezza“, twittando:
“Ho scoperto una vulnerabilità su OpenSea e l’ho segnalata tramite HackerOne. In meno di 12 ore lo hanno sistemato e mi hanno riconosciuto una ricompensa considerevole!”
Parlando con The Block, Leo ha spiegato che il bug critico che ha scoperto potrebbe essere stato utilizzato da attori malintenzionati per rubare risorse.
Nel frattempo, OpenSea ha suggerito che il programma di taglie ha un senso dal punto di vista commerciale. Il programma di fatto incentiva le persone a segnalare i difetti piuttosto che sfruttarli aa proprio vantaggio. Un portavoce ha detto all’outlet:
“Siamo lieti di vedere l’impegno della community con questo programma e ancora più entusiasti del fatto che la nostra risposta media e i tempi di patch siano diventati molto più veloci dal lancio del programma nell’ottobre 2021“.
Pioggia di soldi per chi scopre i bug
Secondo HackerOne, in genere Opensea paga $500 per un bug a basso rischio. La ricompensa sale a $6.000 per un bug medio, $20.000 per un bug ad alto rischio e $100.000 per uno critico.
I dati suggeriscono che finora Opensea ha pagato più di 1,65 milioni di dollari in taglie. Di questi, negli ultimi 90 giorni sono stati assegnati 475.000 dollari.
L’hacking white hat viene fornito con regole rigide, poiché i test di un hacker non possono influire in alcun modo sul funzionamento di un’azienda. Sono inoltre vietati gli attacchi di ingegneria sociale (come il phishing).
Ricompense di questo tipo sono comuni nel settore delle criptovalute. Tuttavia alcune aziende sono state accusate di offrire ricompense “troppo basse” a coloro che scoprono vulnerabilità potenzialmente devastanti.
All’inizio di quest’anno, Tree of Alpha ha scoperto un difetto nello strumento di trading avanzato di Coinbase che avrebbe consentito a un attore malintenzionato di vendere Bitcoin senza possederlo, dando loro il potere di “distruggere” il mercato.
Successivamente sono stati premiati con $250.000 per il loro duro lavoro, ma alcuni su Twitter hanno affermato che Tree of Alpha avrebbe dovuto ricevere molto, molto di più.