กองทัพแฮกเกอร์สามารถทำให้ Crypto ปลอดภัยยิ่งขึ้น แต่ก็เพียงพอแล้วหรือยัง?

ในช่วงทศวรรษที่ผ่านมาการแฮ็กค่อยๆกลายเป็นอาชีพที่น่านับถือและอาจให้ผลตอบแทนได้เนื่องจากการแนะนำของรางวัลบั๊ก.

ในขณะที่บางองค์กรเช่น Mozilla เปิดตัวรางวัลบั๊กย้อนหลังไปในปี 2547 แรงกระตุ้นที่สำคัญต่ออุตสาหกรรมเกิดขึ้นเมื่อ Google และ Facebook เปิดตัวโปรแกรมที่คล้ายกันในปี 2010 และ 2011 ตามลำดับ ไม่นานหลังจากนั้นในปี 2554 และ 2555 แพลตฟอร์มเช่น Bugcrowd และ HackerOne ได้รับรางวัลบั๊กเชิงพาณิชย์เพื่อให้ บริษัท อื่น ๆ ตั้งค่าได้ง่ายขึ้น.

รางวัลบั๊กจ่ายให้นักวิจัยอิสระที่ค้นหาและรายงานช่องโหว่ที่อาจส่งผลกระทบด้านความปลอดภัยต่อระบบหรือผู้ใช้ ช่องโหว่ที่พบบ่อยที่สุดอย่างหนึ่งคือการโจมตี Cross-Site Scripting (XSS) ซึ่งจะฉีดโค้ด JavaScript ที่เป็นอันตรายลงในเบราว์เซอร์ของผู้ใช้.

เนื่องจาก JavaScript แพร่กระจายไปทั่วเว็บในปัจจุบันการโจมตีนี้สามารถใช้เพื่อแย่งชิงบัญชีของเหยื่อเป็นหลักและ Google จะจ่ายเงินให้มากถึง $ 7,500 สำหรับ หมวดหมู่นี้ ของข้อบกพร่อง.

เหตุใดค่าหัวแมลงจึงมีประโยชน์?

การตรวจสอบความปลอดภัยและการตรวจสอบโค้ดมีข้อ จำกัด ทั้งในด้านเวลาและในจำนวนที่ต้องพิจารณา แม้ว่าจะมีประโยชน์ในการเลือกผลไม้แขวนที่ต่ำที่สุดก่อนปล่อยซอฟต์แวร์สู่สาธารณะ แต่ข้อบกพร่องที่ร้ายแรงที่สุดบางอย่างอาจเป็นผลมาจากองค์ประกอบของความล้มเหลวในการออกแบบที่ละเอียดอ่อนหลายอย่าง.

จากตัวอย่างล่าสุดนี้นักวิจัยอิสระพบข้อบกพร่องที่สำคัญในอัลกอริทึม ProgPoW แม้จะมีการตรวจสอบก่อนหน้านี้หลายครั้ง.

การแฮ็กล่าสุดในการเงินแบบกระจายอำนาจหรือ DeFi แสดงให้เห็นถึงความซับซ้อนของระบบเหล่านี้ ในการแฮ็ก bZX ครั้งแรกแกนหลักของการใช้ประโยชน์คือความล้มเหลวเล็กน้อยในการตรวจสอบหลักประกันที่เหมาะสมในสัญญาสมาร์ท bZX แต่เงินกู้แฟลชและแพลตฟอร์มอื่น ๆ มีเครื่องมือที่จำเป็นในการดึงเงินผ่านจุดบกพร่องนี้.

โปรแกรมของ Google แสดงให้เห็นอย่างง่ายดายว่าการปล่อยรหัสปลอดภัยจากการเดินทางนั้นแทบจะเป็นไปไม่ได้เลย โปรแกรมให้รางวัลสำหรับช่องโหว่ โพสต์ เป็นประวัติการณ์ของการจ่ายเงิน 6 ล้านดอลลาร์ในปี 2019 – เก้าปีหลังจากเปิดตัว ในช่วงเวลานั้น บริษัท มีเครื่องมือทั้งหมดที่จะทำให้แนวทางปฏิบัติด้านความปลอดภัยภายในสมบูรณ์แบบ แต่ความซับซ้อนของระบบดูเหมือนจะทำให้ทุกอย่างเป็นไปไม่ได้.

ค่าหัวในการเข้ารหัสลับ

บริษัท และโครงการจำนวนมากใน crypto จะให้รางวัลมากมายสำหรับข้อบกพร่องที่สำคัญ DeFi Project Maker, Compound และ Aave มีรายได้สูงสุด $ 100,000, $ 150,000 และ $ 250,000 ตามลำดับ.

การแลกเปลี่ยนที่สำคัญเช่น Kraken, Coinbase และ Binance ยังมีโปรแกรมรางวัลบั๊ก Kraken ไม่มีขีด จำกัด สูงสุดอย่างชัดเจนในขณะที่ Coinbase และ Binance ทำรายได้สูงสุดที่ 50,000 ดอลลาร์และ 10,000 ดอลลาร์ตามลำดับ ตลาดแลกเปลี่ยนรายใหญ่บางแห่งไม่ได้เปิดตัวโปรแกรมดังกล่าวโดยเฉพาะอย่างยิ่ง Huobi และ Bitstamp.

เป็นที่น่าสังเกตว่าการจ่ายเงินสูงสุดที่โฆษณาไม่จำเป็นต้องทำให้โปรแกรมน่าสนใจยิ่งขึ้นเนื่องจากจำนวนเงินที่จ่ายเกือบตลอดเวลาจะขึ้นอยู่กับดุลยพินิจของ บริษัท.

จากรายงาน 458 ฉบับ ส่ง สำหรับ Coinbase การจ่ายเงินสูงสุดเพียง 20,000 ดอลลาร์ในขณะที่ค่าเฉลี่ยอยู่ที่ 200 ดอลลาร์ อาจเกิดจากความรุนแรงของข้อบกพร่อง แต่สถิติเหล่านี้เป็นสัญญาณสำคัญสำหรับนักวิจัยที่ต้องตัดสินใจเลือกแพลตฟอร์มที่จะมุ่งเน้น การจ่ายเงินรางวัลเฉลี่ยสูงสุดบางส่วนใน Hacker One สามารถหาได้จาก Monolith, Tron (TRX) และ Matic แม้ว่าจะเพิ่งเปิดตัวโปรแกรมรางวัลบั๊ก.

สามารถบั๊กรางวัลบันทึกโครงการ?

โครงสร้างพื้นฐาน Crypto เป็นเป้าหมายที่เหมาะสำหรับแฮกเกอร์เนื่องจากคุณสมบัติเหมือนเงินสดเนื่องจากการขโมยเงินดิจิทัลจากธนาคารมีมาก หนักกว่า.

การแฮ็กเรื่องราว “ความสำเร็จ” เช่น Coincheck ซึ่งผู้กระทำความผิดของการแฮ็กมูลค่า 500 ล้านดอลลาร์ไม่ถูกจับได้หลังจากผ่านไปนานกว่าสองปีอาจดึงดูดแฮกเกอร์ “หมวกดำ” หรือแฮ็กเกอร์ที่เป็นอันตรายได้มากกว่าอุตสาหกรรมอื่น.

ตามการจัดอันดับความปลอดภัยของการแลกเปลี่ยน เผยแพร่แล้ว โดย Hacken ในปี 2019 82% ของการแลกเปลี่ยนทั้งหมดไม่มีโปรแกรมบั๊กใด ๆ เลย ในบรรดาสิ่งที่ทำและได้รับการจัดอันดับสูงในรายการมีเพียง Binance เท่านั้นที่ถูกโจมตีครั้งใหญ่ในปี 2019.

อยากรู้อยากเห็นทั้ง bZX และ dForce มีโปรแกรมบั๊กค่าหัวก่อนเกิดเหตุการณ์ – แต่พวกเขามีข้อแม้ที่น่าสังเกต.

bZX’s โปรแกรม มีการจ่ายเงินสูงสุด 5,000 ดอลลาร์เท่านั้นและจำเป็นอย่างยิ่งที่นักวิจัยจะต้องส่งหลักฐานยืนยันตัวตนก่อนรับรางวัล นอกจากนี้ยังปรากฏว่ามีการเผยแพร่บนโพสต์ขนาดกลางเท่านั้น หลังเกิดเหตุโครงการ แก้ไข ปัญหาที่กล่าวมาทั้งหมด.

DForce’s โปรแกรม จำเป็นต้องส่งเอกสารในทำนองเดียวกันและในขณะที่การจ่ายเงินสูงสุดมีนัยสำคัญที่ 50,000 ดอลลาร์ แต่ครอบคลุมเฉพาะระบบ Stablecoin ของ USDx เท่านั้นไม่ใช่แพลตฟอร์ม Lendf.me ที่ถูกแฮ็ก.

ในขณะที่ บริษัท ต่างๆมีภาระผูกพันที่จะต้องระงับการจ่ายเงินให้กับนักวิจัยที่อาศัยอยู่ในภูมิภาคที่ถูกลงโทษ แต่โครงการที่ประสบความสำเร็จน้อยมากจำเป็นต้องมีการตรวจสอบตัวตนเต็มรูปแบบเพื่อรับเงิน จากมุมมองของนักล่าแมลงการส่งเอกสารประจำตัวอาจกลายเป็นดาบ Damocles เนื่องจากบ่อยครั้ง การตอบโต้ทางกฎหมาย ต่อต้านแฮกเกอร์ที่ถูกต้องตามกฎหมาย – ทำให้ไม่สามารถสมัครได้.

จากข้อมูลทั้งหมดข้างต้นดูเหมือนจะมีความสัมพันธ์อย่างมีนัยสำคัญระหว่างการปรากฏตัวของโปรแกรมเงินรางวัลบั๊กที่ยุติธรรมและอุบัติการณ์ของการแฮ็กภัยพิบัติ.

อย่างไรก็ตามในการสนทนากับ Cointelegraph Egor Homakov นักวิจัยด้านความปลอดภัยที่ได้รับการยอมรับเตือนว่าอย่าให้มีโครงการที่“ น่าอับอาย”:

“ เงินรางวัลไม่ควรถูกบังคับในโครงการใด ๆ และความสนใจควรมาจากภายใน ทุกโปรเจ็กต์มาพร้อมกับโปรแกรมเงินรางวัลโดยค่าเริ่มต้นเพียงแค่ค่าหัวเท่ากับ [ถึง] $ 0 ฉันไม่คิดว่าผู้คนควรอัปยศโปรแกรมสำหรับจำนวนเงินที่สูงขึ้น ตลาดนี้ควบคุมตนเองได้อย่างสมบูรณ์แบบและไม่ต้องการความโกรธ / ความต้องการในการวิจัยอีกต่อไป”

เมื่อพิจารณาจากการตอบสนองต่อเหตุการณ์โดย บริษัท บางแห่งที่ถูกแฮ็กการคัดเลือกโดยธรรมชาติไปสู่การให้รางวัลบั๊กที่ดีขึ้นอาจเกิดขึ้นแล้ว.