Éditeur d’Axie Infinity et du réseau Ronin, Sky Mavis adopte un programme de bug bounty. Cette pratique de sécurité consiste à rémunérer les chercheurs en échange du signalement de failles.
Acteur de référence du marché crypto et blockchain, Sky Mavis n’en a pas moins connu un incident critique à la fin du mois de mars. Une faille de sécurité a permis à des cybercriminels de dérober pour 600 millions de dollars de tokens sur sa sidechain Ronin.
Même si l’éditeur s’est engagé à rembourser les victimes et a collecté 150 millions de dollars auprès de Binance et d’autres, ce piratage ouvre un gouffre dans sa trésorerie. Surtout, elle dégrade la confiance des utilisateurs à l’égard de ses services. Sky Mavis entend donc envoyer des signaux positifs au marché en matière de cybersécurité.
De 1.000 à 1 million de dollars pour des vulnérabilités
La firme adopte une pratique désormais courante dans l’univers du Web2 et parmi ses géants : le bug bounty. Le principe est simple. Il consiste à rémunérer des chercheurs en sécurité pour la découverte de failles logicielles.
Le montant versé par l’entreprise varie suivant la gravité du bug détecté. Sky Mavis fixe une fourchette assez large allant de 1000 dollars jusqu’à 1 million de dollars pour une vulnérabilité critique. Ces récompenses seront versées sous forme de tokens AXS.
Le périmètre du bug bounty couvre un certain nombre d’actifs numériques de l’entreprise. Cela englobe notamment son wallet, la marketplace Axie Infinity, les extensions Ronin pour navigateurs, ainsi que différentes applications mobiles et PC.
Les développeurs de Sky Mavis souhaitent en priorité détecter certaines catégories de vulnérabilités propres à son smart contract et à la blockchain. Sans surprise, sont concernées les failles permettant l’exécution d’attaques de type « Re-entrancy ».
Sky Mavis entend aussi prévenir les attaques exploitant des failles au niveau de l’authentification des utilisateurs ou déclenchant des flash loans malveillants. Cette pratique est récurrente dans la DeFi, régulièrement ciblée.
250.000 dollars payés par Coinbase en février
Toutes les modalités du bug bounty sont détaillées sur le site de Sky Mavis. L’entreprise rappelle que ce mode de divulgation responsable des failles de sécurité impose le respect de la confidentialité.
Cela exclut en particulier toute communication sur les réseaux sociaux, évidemment. Sky Mavis fixe également des limites quant aux techniques de détection des vulnérabilités. Déni de service et social engineering (du phishing par exemple) sont par exemple proscrits.
Sky Mavis n’est pas le premier à adopter la pratique du Bug Bounty, même si celle-ci fait encore largement défaut dans la DeFi. De grands exchanges s’appuient sur des spécialistes du secteur de la cyber, en particulier HackerOne.
On pourra citer en particulier des bourses de cryptomonnaies telles que Crypto.com ou Coinbase. En février dernier, l’exchange américain accordait d’ailleurs une prime de 250.000 dollars à un développeur pour la découverte d’un bug critique.
Suivez Coins.fr sur Twitter, Linkedin, Facebook ou Telegram pour ne rien manquer.