Sky Mavis - firma stojąca za Axie Infinity - oferuje do 1 miliona dolarów każdemu, kto zidentyfikuje poważne luki w zabezpieczeniach jej platformy. Oferta ta pojawiła się po tym, jak firma została dotknięta największym w historii hackiem DeFi, w wyniku którego z mostu Ronin skradziono ponad 600 milionów dolarów.
Według strony internetowej firmy, Sky Mavis Bounty Program będzie opierał się na Bugcrowd Vulnerability Rating Taxonomy. System ten pomoże Sky Mavis nadawać priorytety i oceniać znalezione przez społeczność problemy związane z bezpieczeństwem. Im poważniejsza i bardziej zakłócająca działalność firmy jest dana luka, tym większa będzie nagroda za jej odkrycie.
Potencjalne luki są podzielone na dwie kategorie: "Inteligentne kontrakty i Blockchain" oraz "Strony internetowe i aplikacje". Lista smart kontraktów i aplikacji internetowych kwalifikujących się do analizy jest podana poniżej.
Luki w bezpieczeństwie stron internetowych i aplikacji generalnie wiążą się z mniejszymi nagrodami. Za "kluczowe" odkrycia można otrzymać maksymalnie 15 000 dolarów. Z kolei słabe punkty w blockchainie gwarantują nagrody na pięciu poziomach. Od 1000 dolarów za odkrycia o "niskim" ryzyku do 1 000 000 dolarów za "śmiertelne" luki. Nagrody te będą wypłacane w Axie Infinity Shards (AXS).
Program ma jednak ścisłe i szczegółowe zasady. Na przykład, podatności muszą zawierać dowód koncepcji, a nie pozostawać czysto teoretyczne. Nie mogą wymagać złamania roota/jailbreaka do ich przeprowadzenia i muszą mieć konkretny wpływ na bezpieczeństwo. Nie kwalifikują się również raporty z automatycznych narzędzi.
Pod koniec zeszłego miesiąca z mostu Ronin - sidechainu Ethereum, na którym działa Axie Infinity - wypłynęło ponad 600 milionów dolarów w ETH i USDC. Hakerowi udało się zgarnąć łup dzięki przejęciu większości węzłów walidatora Ronina.
Hack został zauważony dopiero 6 dni po jego dokonaniu. Od tego czasu Sky Mavis pracuje nad odzyskaniem skradzionych środków. Firma obiecała też zwrot pieniędzy dla graczy Axie, którzy ucierpieli w wyniku tego ataku. Wydaje się jednak, że haker już teraz zaciera ślady korzystając z miksera kryptowalut Tornado Cash.