Les investisseurs d’Immunefi, qui ont annoncé une levée de fonds de 24 millions de dollars le 22 septembre, ne prennent pas trop de risque en estimant son. La start-up basée à Singapour est spécialisée dans les bug bounties (programmes qui accordent des récompenses pour la découverte de vulnérabilités dans les programmes informatiques) pour le web3. Vu le nombre de cyberattaques qui empoisonnent le secteur, elle a sûrement de beaux jours devant elle.
Ce tour de table en série A a été mené par Framework Ventures, un fonds web3. Ont également participé Samsung Next, Electric Capital (un fonds qui investit dans la finance décentralisée et les NFT), et Polygon Ventures (la branche d’investissement de la blockchain Polygon).
dans le web3, les primes doivent être plus élevées
Lancée en 2020, Immunefi revendique la position de leader sur le marché du bug bounty dans les applications blockchain. Elle travaille avec des clients dans les cryptomonnaies et la finance décentralisée, tels que Polygon, Sushi Swap, FabricantDAO et Composé. Par définition, la sécurité de ces services porte de gros enjeux financiers, si bien que les récompenses accordées sont élevées. La start-up affirme avoir déjà versé 60 millions de dollars de primes aux “white hats” (hackers éthiques).
Ces primes ont une particularité chez Immunefi. Elles sont proportionnelles à la somme des crypto-actifs déposés dans les contrats intelligents. Immunefi applique généralement un pourcentage de 10% des actifs (à laquelle s’ajoute la commission de 10% prise par la plateforme). Si bien qu’un programme peut recevoir une récompense de 10 millions de dollars (ce fut le cas du bug bounty de Wormhole, un protocole de bridges entre blockchains), largement supérieure aux primes que l’on trouve nécessairement sur le marché.
“Nous sommes face à un problème d’incentive : il y a beaucoup d’argent relativement facile et peu dangereux à voler” sur la blockchain, explique l’entreprise sur son blog, en ajoutant que “le code ouvert et les failles directement monétisables ont fait du web3 l’environnement de développement logiciel le plus hostile au monde”. La solution consiste à “réduire l’incitation à voler en permettant un incentive encore plus grand à faire autre chose”.
60 millions de dollars de récompenses
En tant que plateforme de bug bounty, Immunefi rassemble une communauté de chasseurs de primes qu’elle peut mobiliser sur les programmes de recherche de ses clients. Pour chaque programme, ces derniers fixent le cadre et les règles applicables (type de vulnérabilités recherchées, périmètre, contenu des rapports, etc.).
Selon Immunefi, sa plateforme de bug bounty a déjà servi à protéger 25 milliards de dollars dans le web3, sur 300 projets. Actuellement, elle emploie 50 personnes. La start-up utilisera les fonds levés pour recruter de nouveaux collaborateurs afin de répondre à une forte demande du marché.
D’autres plateformes de bug bounty sont spécialisées dans le web3, comme l’estonienne HackenProof. Les grandes plateformes, à l’instar de la française YesWeHack ou de l’américaine HackerOne, sont également actives dans les projets blockchain sans être des spécialistes du secteur.
