OpenSea Sistemlerinde Açık Bulan Türk Ödüllendirildi!

2 years ago 99

Bugün akşam saatlerinde Coniun Discord kanalında yapılan duyuruya göre OpenSea sistemlerinde kritik bir açık tespit edildi. Coniun kurucu ortağı Batuhan KATIRCI tarafından tespit edilen açık sebebiyle OpenSea ciddi miktarda ödül ödemesi yapacak. Dünyanın hacim bakımından en büyük NFT satış platformu Batuhan’ın desteğiyle artık daha güvenli.

OpenSea Sistemlerinde Zafiyet

OpenSea bu yılın başlarında beyaz şapkalı hackerlar için bir bug bounty programı duyurmuştu. Bu programlar büyük şirketler tarafından kendilerinin tespit edemediği açıkları bulmak için hazırlanıyor. Siber saldırganlar OpenSea gibi büyük sistemleri açıkları kullanarak ciddi kazanç elde edebiliyor. Ronin köprüsüne yapılan saldırıda yüz milyonlarca dolarlık kayıp yaşanmıştı. OpenSea, açıkladığı program sayesinde kötü niyetli saldırganlardan önce bu alanda uzman olan hackerlardan destek alıyor. Bildirilen zafiyetler inceleniyor ve eğer gerçekten sistemlerde istismara açık bir bug varsa bunun karşılığında ödül veriyor.

HackerOne isimli platform aracılığıyla beyaz şapkalı hackerlar birçok farklı platformda zafiyet raporlayabiliyor. OpenSea, Ekim ayı itibariyle bu platform üzerinden raporlar almaya başladı ve resmi ödül programını Ocak ayında duyurdu. Mayıs 2020'den bu duyuru yapılana kadar ise 25 farklı kanıtlanmış güvenlik açığı ödüllendirildi.

Türk Hacker Ödül Aldı

Batuhan Katırcı kritik bir açık raporladığı için 20.000 dolarlık ödül almaya hak kazandı. Güvenlik açığı raporları karşılığında, bildirilen sorunun ciddiyetine göre kademeli bir modelde ödül veriliyor. Ödüller, güvenlik açığının ve etkisinin ciddiyetine bağlı olarak 500 ila 50.000 dolar arasında değişmektedir. Tüm ödüller, rapor edilen güvenlik açığının ciddiyetine bağlı olarak OpenSea ekibinin takdirine bağlı olarak daha yüksek oranlarda ödeme de hakkedebiliyor.

OpenSea tarafından paylaşılan ödül tablosu aşağıdaki gibidir.

Verilen ödülün miktarı ise Discord kanalı üzerinden aşağıdaki paylaşımla duyuruldu.

Batuhan Katırcı tarafından bildirilen açığın kapsamı hakkında net bir bilgi yok ancak OpenSea’nin yeni akıllı sözleşmesi Seaport da kullanılan Solidity ciddi oranda inline assembly içeriyordu. Buna Solidity 2.0 sıfır deniliyor. Güvenlik riski yüksek olduğu için uzun süredir konuşulan bu yöntemin, ödüle konu raporla bağlantılı olabileceği düşünülüyor. Aynı isim daha önce Clubhouse, New Relic, Twitter ve Spotify plaformlarında da zafiyetler tespit ederek raporlamıştı.

Read Entire Article