Bug Bounties ใน Crypto – วิธีที่ดีที่สุดในการรับรองความปลอดภัยของแพลตฟอร์ม?

บริษัท Crypto มักจะหาวิธีที่ยากที่แฮกเกอร์จะรู้จักระบบรักษาความปลอดภัยของตนดีกว่าที่เป็นอยู่ เนื่องจากการแฮ็กในโลกของการเข้ารหัสลับสามารถทำได้และมักส่งผลให้โทเค็นมูลค่าหลายร้อยล้านดอลลาร์ถูกขโมยไปชะตากรรมของอนาคตของ บริษัท มักจะใช้มาตรการรักษาความปลอดภัย ในความพยายามที่จะยุติการฟักไข่ บริษัท ต่างๆเสนอรางวัลบั๊ก.

เงินรางวัลเหล่านี้เป็นการแข่งขันที่แฮกเกอร์ได้รับการสนับสนุนให้พยายามประนีประนอมซอฟต์แวร์ จากนั้นแฮกเกอร์จะส่งรายงานช่องโหว่ไปยัง บริษัท ที่เกี่ยวข้องเพื่อให้สามารถแก้ไขข้อบกพร่องก่อนที่จะถูกใช้ประโยชน์ เพื่อเป็นรางวัลแฮ็กเกอร์ที่ประสบความสำเร็จจะได้รับค่าหัว.

บริษัท ส่วนใหญ่เสนอเงินรางวัลในระดับที่เซโดยราคารางวัลจะสอดคล้องกับความรุนแรงของข้อบกพร่อง ค่าหัวเริ่มต้นที่ประมาณ $ 50 ถึง $ 100 สำหรับการแก้ไขระดับต่ำและโดยปกติจะถูก จำกัด ไว้ที่ประมาณ $ 10,000 สำหรับจุดบกพร่องที่สำคัญ ในบางกรณีที่เกิดขึ้นได้ยากแฮกเกอร์ได้รับรางวัลมากขึ้น.

Katie Moussouris ผู้ก่อตั้งและซีอีโอของ Luta Security ซึ่งเปิดตัวทั้ง Microsoft และรางวัลบั๊กแรกของเพนตากอนอธิบายให้ Cointelegraph ทราบถึงวิธีการใช้รูปแบบการให้รางวัลบั๊ก:

“ ค่าหัวบั๊กมีประโยชน์และมีประสิทธิภาพมากที่สุดโดยเป็นส่วนเสริมของกิจกรรมการรักษาความปลอดภัยเชิงรุกที่เน้นการป้องกันและตรวจจับช่องโหว่ภายในองค์กรก่อน เมื่อองค์กรกำหนดแนวทางปฏิบัติด้านความปลอดภัยที่ดีแล้วการให้รางวัลบั๊กสามารถช่วยระบุจุดบกพร่องด้านความปลอดภัยที่องค์กรพลาดไปได้ รางวัลบั๊กในตัวมันไม่เพียงพอ”

บริษัท ส่วนใหญ่ที่พัฒนาซอฟต์แวร์มีค่าหัว ในโลกของการเข้ารหัสลับความต้องการโปรแกรมดังกล่าวมีความสำคัญเท่าเทียมกันโดยไม่คำนึงถึงขนาดของ บริษัท ตามก รายงาน ดำเนินการโดย HackerOne บริษัท ต่างๆจ่ายเงินรางวัลบั๊ก 878,000 ดอลลาร์ในปี 2018 Guido Vranken นักวิจัยชาวดัตช์ที่ ได้รับ การจ่ายเงิน 120,000 ดอลลาร์จาก EOS หลังจากค้นพบข้อบกพร่อง 12 รายการภายในเจ็ดวัน Cointelegraph บอกกับ Cointelegraph ว่าเงินเดิมพันสูงสำหรับ บริษัท crypto:

“ สำหรับสกุลเงินดิจิทัลทั่วโลกมีเนื้อหาที่เสี่ยงมากกว่าโครงการหรือเว็บไซต์อื่น ๆ มากมาย การขโมยทรัพย์สินเป็นตัวอย่างที่จับต้องได้มากที่สุด แต่เนื่องจากการทำงานร่วมกันระหว่างการประชาสัมพันธ์และอัตราแลกเปลี่ยนการสูญเสียสุทธิอาจเป็นผลมาจากช่องโหว่ที่เผยแพร่สู่สาธารณะอย่างกว้างขวาง”

หนึ่งในรางวัลบั๊กล่าสุดมาจากแอพส่งข้อความทั่วโลก Telegram ประกาศในช่อง Telegram Contests เมื่อวันที่ 24 กันยายน บริษัท กำลังเรียกร้องให้นักพัฒนาใช้ประโยชน์จาก TON blockchain และส่งรายงานช่องโหว่.

หากแฮกเกอร์สามารถใช้ประโยชน์จากข้อบกพร่องใน TON blockchain จนถึงขนาดที่พวกเขาสามารถขโมยเงินจากกระเป๋าเงินของผู้ใช้รายอื่นได้ Telegram จะจ่ายเงินให้มากถึง $ 200,000 ซึ่งเป็นจำนวนเงินที่ตรงกับปัญหาที่สำคัญของ Augur เงินรางวัล เป็นหนึ่งในรางวัลที่ใหญ่ที่สุดในประวัติศาสตร์การเข้ารหัสลับ การแข่งขันกำลังเกิดขึ้นกับฉากหลังของการเปิดตัว Gram โทเค็นดิจิทัลดั้งเดิมของ Telegram ในช่วงปลายเดือนตุลาคม.

EOS เป็นจุดสูงสุด

แม้ว่าจะเป็นเรื่องที่น่าสนใจที่จะคิดว่า บริษัท ที่เล็กกว่า แต่ใหม่กว่าอาจมีบทบาทมากที่สุดในการให้รางวัลบั๊ก แต่ Block.one ซึ่งเป็น บริษัท ที่อยู่เบื้องหลัง EOS ครองตำแหน่งสูงสุดในปี 2018 ด้วยเงินรางวัล 534,500 ดอลลาร์โดยจ่าย 60% ของค่าหัวทั้งหมดในปีนั้น ตามรายงาน.

อ้างอิงจาก EOS ข้อมูลส่วนตัว ใน HackerOne บริษัท จะจ่ายเงินสูงสุด 1,000 ดอลลาร์สำหรับรายงานที่มีความเสี่ยงต่ำและสูงสุด 10,000 ดอลลาร์สำหรับรายงานที่สำคัญ โปรไฟล์ยังตั้งข้อสังเกตด้วยว่าจำนวนเงินสุดท้ายจะขึ้นอยู่กับดุลยพินิจของแผงรางวัลเสมอโดยรางวัลที่สูงกว่าจะมอบให้กับช่องโหว่พิเศษ.

แนวทางการให้รางวัล EOS

หลังจากการเปิดตัวโปรแกรม EOS bounty ในเดือนพฤษภาคม 2018 Vranken อธิบาย วิธีที่ บริษัท กระชับแนวทางในการรักษาความปลอดภัยหลังจากการค้นพบของเขา:

“ ข้อบกพร่องที่รายงานได้รับการวิเคราะห์และแก้ไขอย่างรวดเร็วในที่เก็บสาธารณะ ในตอนแรกกระบวนการเป็นแบบเฉพาะกิจเพราะ [EOS CTO] Daniel Larimer และฉันกำลังส่งไฟล์ไปมาทาง Telegram แต่ตั้งแต่นั้นมาพวกเขาก็เริ่มเรียกใช้โปรแกรมบั๊ก Bounty บน HackerOne ซึ่งฉันคิดว่าเป็นประโยชน์สูงสุด ทั้งผู้ค้นหาข้อบกพร่องและทีมงาน EOS”

EOS ยังคงจ่ายรางวัลให้กับแฮกเกอร์อย่างต่อเนื่องในปี 2019 โดยแจกรางวัลบั๊กสำหรับช่องโหว่ที่สำคัญถึง 5 ช่องโหว่ เมื่อวันที่ 10 มกราคม EOS ได้มอบเงินรางวัล $ 40,750 ให้กับแฮ็กเกอร์หมวกขาว 5 คนผ่านทาง HackerOne โดยนักวิจัยอีกคนได้รับเงินรางวัลเพิ่มอีก 10,000 ดอลลาร์.

Coinbase เป็นผู้ที่มีการใช้จ่ายมากเป็นอันดับสอง

หนึ่งในการแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุดในโลก Coinbase เป็นผู้ใช้จ่ายเงินรางวัลมากที่สุดเป็นอันดับสองโดยจัดสรรเงินทั้งหมด 290,381 ดอลลาร์ในปี 2018 บริษัท ประสบปัญหาที่มีชื่อเสียงมากมายนับตั้งแต่พบว่ามีผู้ใช้เพิ่มขึ้นอย่างมากในช่วงกลางปี ​​2017 ส่งผลให้เงินล่าช้าหรือขาดหายไปตลอดจนบริการดับ.

บริษัท ให้รางวัลเพิ่มเติมอีก 30,000 ดอลลาร์ในเดือนกุมภาพันธ์ 2019 สำหรับการรายงานข้อบกพร่องที่สำคัญ, ตาม โปรแกรมเปิดเผยช่องโหว่ของ Coinbase ในเวลานั้นข้อบกพร่องได้รับรางวัลมากที่สุดเท่าที่เคยมีมาบนแพลตฟอร์มแม้ว่ารายละเอียดของข้อบกพร่องจะไม่เปิดเผยต่อสาธารณะก็ตาม Coinbase ดำเนินโครงการเงินรางวัลสี่ชั้นซึ่งจะจ่าย $ 200 สำหรับกรณีที่มีความเสี่ยงต่ำ 2,000 ดอลลาร์สำหรับปัญหาระดับกลางและสูงถึง 50,000 ดอลลาร์สำหรับข้อบกพร่องที่สำคัญ.

ตามโปรไฟล์ HackerOne ของ Coinbase การแสวงหาผลกระทบที่สำคัญประกอบด้วยสถานการณ์ที่ผู้โจมตี “สามารถอ่านหรือแก้ไขข้อมูลที่ละเอียดอ่อนในระบบเรียกใช้รหัสตามอำเภอใจในระบบหรือปลอมสกุลเงินดิจิทัลหรือสกุลเงิน fiat ได้ในบางกรณี”

ที่เกี่ยวข้อง: Monero รายงานเกี่ยวกับการแก้ไขข้อบกพร่อง XMR Minting ปลอมหนึ่งเดือนหลังจากแก้ไข

บริษัท ยังได้วางแนวทางในการประเมินปัญหาที่มีผลกระทบต่ำ:“ ผู้โจมตีสามารถได้รับข้อมูลที่มีความไวต่ำที่ไม่ได้รับอนุญาตจำนวนเล็กน้อยซึ่งส่งผลกระทบต่อผู้ใช้บางกลุ่มหรือส่งผลกระทบต่อความแม่นยำและประสิทธิภาพของระบบเล็กน้อย”

เกี่ยวกับการแก้ไขปัญหาที่ได้รับรายงาน บริษัท มีประวัติของการรับรู้ที่ช้า หลังจาก บริษัท สัญชาติดัตช์แห่งหนึ่งค้นพบข้อผิดพลาดเกี่ยวกับสัญญาอัจฉริยะที่อนุญาตให้ผู้ใช้ขโมย“ เท่าที่พวกเขาต้องการ” ใน Ethereum (ETH) รายงานว่า Coinbase ใช้เวลาหนึ่งเดือนในการแก้ไข Coinbase จ่ายรางวัล 10,000 ดอลลาร์ให้กับ บริษัท ที่อยู่เบื้องหลังการค้นพบ.

Tron มาเป็นอันดับสาม

มูลนิธิ Tron ซึ่งอยู่เบื้องหลังเหรียญ TRX เป็นผู้ใช้จ่ายเงินรางวัลบั๊กมากที่สุดเป็นอันดับสามโดยมีมูลค่ารวม $ 78,800 สำหรับรายงาน 15 ฉบับ ณ ตอนนี้ บริษัท ได้จ่ายเงินรางวัลทั้งหมด 85,400 ดอลลาร์โดยสูงสุดที่ 10,000 ดอลลาร์ให้กับผู้ใช้ HackerOne nu11pe สำหรับรายงานที่ไม่เปิดเผย.

โปรแกรมเงินรางวัลของ บริษัท จะจ่าย $ 100 สำหรับช่องโหว่ที่มีความเสี่ยงต่ำ 3,000 ดอลลาร์สำหรับความเสี่ยงปานกลาง 6,000 ดอลลาร์สำหรับความเสี่ยงสูงและสูงถึง 10,000 ดอลลาร์สำหรับปัญหาร้ายแรง โปรไฟล์ HackerOne ของ Tron อธิบาย ความผิดพลาดที่สำคัญในฐานะ “จุดบกพร่องที่สามารถควบคุมโหนด java-tron โดยการเรียกใช้โค้ดใด ๆ จากระยะไกล” รวมถึงข้อบกพร่องที่อาจทำให้เกิดการรั่วไหลของคีย์ส่วนตัว.

ในเดือนพฤษภาคม บริษัท ได้เปิดเผยช่องโหว่ที่สำคัญที่อาจทำให้บล็อกเชนล่ม การประกาศใน HackerOne ระบุว่าผู้โจมตีสามารถกลืนกินหน่วยความจำที่มีอยู่ทั้งหมดแม้ว่าจะมีการปฏิเสธการให้บริการแบบกระจายหรือ DDoS โจมตีเครือข่าย TRX โดยการติดตั้งโค้ดที่เป็นอันตรายในสัญญาอัจฉริยะ.

บริษัท เสริมว่าบุคคลหนึ่งสามารถทำการโจมตี DDoS โดยใช้เครื่องเดียวเพื่อโจมตีโหนดอาวุโสทั้งหมดหรือ 51% จึงทำให้เครือข่ายไม่สามารถใช้งานได้ แม้ว่าจะมีการรายงานข้อบกพร่องเมื่อวันที่ 14 มกราคม แต่ก็มีการประกาศต่อสาธารณะหลังจากได้รับการแก้ไขแล้ว นักวิจัยที่อยู่เบื้องหลังช่องโหว่นี้ได้รับรางวัล 1,500 ดอลลาร์.

การให้รางวัลบั๊กไม่ใช่ระบบที่สมบูรณ์แบบ

ในขณะที่โปรแกรมรางวัลบั๊กสร้างสภาพแวดล้อมที่ดีต่อสุขภาพอย่างชัดเจนซึ่ง บริษัท ต่างๆให้รางวัลการแฮ็กที่มีจริยธรรมในระบบของพวกเขา แต่แนวคิดนี้ไม่ได้หากปราศจากนักวิจารณ์ ล่าสุด Dovey Wan นักเข้ารหัสที่มีชื่อเสียงได้วิพากษ์วิจารณ์การตัดสินใจของ Telegram ในการเปิดการพัฒนาสัญญาอัจฉริยะ วานปรากฏตัวให้ วิจารณ์ เหตุการณ์ดังกล่าวเป็นตัวอย่างของ บริษัท ที่ล้มเหลวในการลงทุนใหม่ในกระบวนการพัฒนาซอฟต์แวร์โดยกล่าวว่า:

“ ขออภัยโครงการที่ระดมทุนกว่าพันล้านโดยมีผู้ใช้มากกว่า 500 มม. ไม่สามารถสร้าง block explorer ที่สมเหตุสมผลได้หรือไม่ ฉันต้องสงสัยว่าระดับความสำคัญของเครือข่าย TON นี้ในทีมของ Telegram คืออะไรและพวกเขาจะใช้สมบัติขนาดใหญ่ของพวกเขาในสิ่งที่เกี่ยวข้องกับการเข้ารหัสลับได้อย่างไร”

Katie Moussouris ซีอีโอของ Luta Security กล่าวกับ Cointelegraph ว่าแม้ว่าบั๊กจะมีประสิทธิภาพในการชี้ช่องโหว่ที่สำคัญในโครงสร้างความปลอดภัยที่มีอยู่ แต่ก็ไม่สามารถทดแทนการมีกระบวนการรักษาความปลอดภัยโดยเฉพาะได้:

“ บริษัท ต่างๆไม่สามารถใช้รางวัลบั๊กเป็นทางเลือกที่ถูกสำหรับการตรวจสอบสถานะด้านความปลอดภัย เพียงแค่ขอให้คนแปลกหน้าชี้ให้เห็นข้อบกพร่องโดยไม่ต้องมีความสามารถในการแก้ไขก็เป็นวิธีหนึ่งที่ใช้เงินรางวัลบั๊กมากเกินไปสามารถครอบงำองค์กรได้อย่างรวดเร็ว”

Vranken ได้สรุปมุมมองของเขาต่อ Cointelegraph ว่าจากประสบการณ์ของเขาในฐานะนักวิจัย บริษัท crypto ที่มีโปรแกรมรางวัลบั๊กบ่งชี้ว่า บริษัท สามารถเชื่อถือได้:

“ ในไม่ช้าฉันก็จะเชื่อโครงการสกุลเงินดิจิทัลที่มีโปรแกรมเงินรางวัลที่ดำเนินการอย่างถูกต้องมากกว่าโครงการที่ไม่มี จุดยืนนี้เกิดจากประสบการณ์ของฉันในฐานะนักวิจัยและความตระหนักของฉันเกี่ยวกับความจริงที่ว่าแม้แต่ซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายก็ไม่จำเป็นต้องอยู่ภายใต้การตรวจสอบอย่างจริงจังของรหัสโดยปราศจากแรงจูงใจที่เหมาะสม”

Vranken กล่าวเพิ่มเติมว่าการสร้างซอฟต์แวร์โดยไม่มีข้อบกพร่องเป็นเรื่องยากมากไม่ว่าจะมีความสามารถหรือจำนวนเงินที่สูงเพียงใดก็ตาม:

“ หากไม่มีอะไรอื่นโปรแกรมรางวัลบั๊กจะสร้างช่องทางที่เป็นทางการสำหรับการรายงานข้อบกพร่องและส่งสัญญาณการไม่เป็นปรปักษ์ต่อนักวิจัยด้วยการสาบานว่าจะชื่นชมผลงานของพวกเขา (ผ่านค่าตอบแทนทางการเงิน)”

ระบบการให้รางวัลบั๊กในปัจจุบันขึ้นอยู่กับแฮกเกอร์ที่ทำหน้าที่อย่างมีความรับผิดชอบไม่ว่าจะเป็นเพราะความโน้มเอียงทางศีลธรรมหรือโดยผลตอบแทนที่มอบให้ ในขณะที่อาจดูเหมือนเป็นไปได้ที่แฮกเกอร์สามารถเก็บเงินได้มากกว่าที่โฆษณาในโครงการหรือขายรายละเอียดของข้อบกพร่องให้กับคู่แข่ง Moussouris กล่าวว่าความต้องการข้อมูลดังกล่าวไม่สูงอย่างที่หลายคนรับรู้:

“ มีผู้ซื้อบั๊กจำนวนไม่ จำกัด ที่รอซื้อข้อบกพร่องทั้งหมดนั่นเป็นเรื่องธรรมดา อย่างไรก็ตามในสกุลเงินดิจิทัลมีแนวโน้มที่จะมีผู้ซื้อบั๊กมากกว่าในพื้นที่อื่น ๆ ดังที่กล่าวไว้หากนักล่าแมลงจัดลำดับความสำคัญของผลกำไรพวกเขาอาจเลือกที่จะใช้ประโยชน์มากกว่าขายข้อบกพร่องที่พวกเขาพบในสกุลเงินดิจิทัลเพื่อผลกำไรโดยตรงมากขึ้น”

แม้ว่าผลตอบแทนที่โฆษณาโดย บริษัท cryptocurrency และซอฟต์แวร์ทั่วโลกอาจให้ความรู้สึกว่าการล่าเงินรางวัลบั๊กสามารถนำเสนออาชีพที่มีกำไร แต่ความจริงก็คือการแข่งขันสูงและการเข้าถึงไม่ได้ถูกแบ่งเท่า ๆ กัน Moussouris อธิบายกับ Cointelegraph ว่าผู้ที่ได้รับเชิญให้เข้าร่วมรางวัลบั๊กส่วนตัวมักมีความได้เปรียบในการแข่งขัน:

“ โดยปกติแล้วจะเป็นงานจำนวนมากที่ไม่มีการชดเชยโดยเฉพาะอย่างยิ่งถ้าประเภทของแมลงที่นักล่ารู้วิธีค้นหานั้นเป็นประเภทของข้อบกพร่องที่พบได้บ่อย มีเพียงคนแรกที่รายงานช่องโหว่บางรายการเท่านั้นที่จะได้รับเงินดังนั้นนักล่าบั๊กที่ประสบความสำเร็จมากที่สุดมักจะเป็นคนที่ได้รับเชิญให้เข้าร่วมการล่าบั๊กส่วนตัวที่มีคู่แข่งน้อยกว่า”

สำหรับ Vranken การล่าค่าหัวบั๊กเป็นกระเป๋าแบบผสมเนื่องจากรางวัลไม่ตรงกับเวลาที่วางไว้ในโปรเจ็กต์เสมอไป:

“ เมื่อเทียบกับงานตามสัญญาที่กำหนดความพยายามและการให้รางวัลล่วงหน้าการได้รับรางวัลจากข้อผิดพลาดสามารถทำให้อิ่มเอมใจได้ (เมื่อคุณพบข้อบกพร่องมากมายที่ได้รับรางวัลอย่างลึกซึ้ง) หรือน่าผิดหวัง (ใช้เวลาส่วนใหญ่ไปกับบางสิ่งโดยไม่บรรลุผลหรือได้รับสิ่งที่ต่ำกว่า รางวัลมากกว่าที่คุณคาดหวัง)”