Společnost OpenSea vyplatila odměny v celkové výši 200 000 dolarů dvěma etickým hackerům. Zasloužili si ji upozorněním na kritické bezpečnostní nedostatky, které na NFTéčkovém tržišti objevili. Oba hackeři pak dostali po 100 000 dolarech.
První odměna byla vyplacena Corbenu Leovi, bezpečnostnímu expertovi a marketingovému řediteli společnosti Zellic. Leo uvedl, že v pondělí obdržel 100 000 dolarů za to, že objevil kritickou slabinu OpenSea prostřednictvím platformy HackerOne. Jedná se o platformu spojující firmy s penetračními testery a výzkumníky v oblasti kybernetické bezpečnosti.
Kdyby chyba nebyla odhalena, mohli jí zneužít zločinci za účelem odcizení majetku, prohlásil Leo. „Jednalo se o slabinu ovlivňující jejich webové služby. Umožnila by útočníkovi kompromitovat infrastrukturu společnosti OpenSea,“ řekl.
Druhým šťastlivcem je anonymní whitehat hacker, který si říká Nix. Ten potvrdil, že společnost OpenSea ho také odměnila částkou 100 000 dolarů. I v jeho případě se jednalo o upozornění na bezpečnostní nedostatky, další podrobnosti neuvedl.
„Zpráva o zmíněném nedostatku a veškeré podrobnosti kolem ní jsou důvěrné,“ řekl Nix. Tato chyba byla rovněž označena na platformě HackerOne.
OpenSea těží ze spolupráce s hackery
Mluvčí společnosti OpenSea potvrdil, že hackeři byly skutečně odměněni a že byly vydány příslušné opravy těchto chyb. Uvedl také, že firma je spokojena s tím, že program odměn HackerOne funguje tak, jak má.
„Těší nás, jak se komunita do tohoto programu zapojila. Ještě víc nás těší, že od října 2021, kdy byl program spuštěn, se průměrná doba opravy chyb výrazně zrychlila.“
OpenSea je z hlediska denního objemu největším tržištěm NFT na Ethereu. Platforma se však již dříve potýkala s problémy s uživatelským rozhraním a bezpečnostními chybami, které vedly ke ztrátě aktiv uživatelů.
Aby se s těmito problémy vypořádala, vstoupila společnost OpenSea do programu s HackerOne, crowdfundingovou platformou pro etický hacking. Misí HackerOne je pomoci společnostem odhalit a opravit základní nedostatky dříve, než mohou být zneužity.
V rámci programu nabízí společnost OpenSea odměny, jejichž výše se odvíjí od závažnosti nalezené hrozby. Například za chybu ve smart kontraktu „nízké“ úrovně může whitehat hacker získat až 6 000 dolarů. Za „kritickou“ chybu může získat odměnu až 100 000 dolarů – přesně taková částka byla udělena ve zmíněných dvou případech.
Program odměn za nalezení chyby společnosti OpenSea je stále v provozu na portálu HackerOne.
